اجرای دستورالعمل NIS-2

الزامات انطباق

با معرفی دستورالعمل اتحادیه اروپا 2022/2555 که به اختصار NIS 2 نامیده می‌شود، الزامات انطباق در شرکت‌ها افزایش یافته است. NIS 2 به تهدیدات حملات سایبری در اتحادیه اروپا پاسخ می‌دهد. این دستورالعمل امنیت سایبری و اطلاعاتی شرکت‌ها و مؤسسات را تنظیم می‌کند. امروزه حملات سایبری به‌طور جهانی به‌عنوان یکی از بزرگ‌ترین ریسک‌های تجاری برای شرکت‌ها شمرده می‌شوند.

NIS 2 جایگزین دستورالعمل اتحادیه اروپا 2016/1148 (NIS 1) شده و به بهبود امنیت سایبری در اتحادیه اروپا و حفاظت بهتر از شرکت‌ها کمک می‌کند. پیاده‌سازی دستورالعمل NIS 2 نیز به نوبه خود الزامات بیشتری بر مدیریت ریسک و انطباق در بسیاری از شرکت‌ها قرار می‌دهد. اگر اقدامات در شرکت‌ها به درستی اجرا نشوند، ممکن است منجر به تحریم‌ها شود، به گفته دفتر حقوقی MTR Legal Rechtsanwälte.

اتحادیه اروپا دستورالعمل NIS 2 را در سال 2023 تصویب کرده و تا سال 2025 کشورهای عضو موظف به اجرای آن در قوانین ملی هستند. اینکه کدام شرکت‌ها تحت‌الشعاع دستورالعمل قرار دارند، عمدتاً به نوع فعالیت آنها بستگی دارد. دستورالعمل به شرکت‌های بیشتری که به عنوان اساسی (essential) و مهم (important) شناخته می‌شوند، توسعه یافته است. این امر منجر به افزایش چشمگیر شرکت‌ها و موسساتی می‌شود که موظف به انجام وظایف قانونی در برابر اداره فدرال امنیت در فن‌آوری اطلاعات (BSI) هستند.

تأثیر بر زیرساخت‌های حیاتی

علاوه بر زیرساخت‌های حیاتی که قبلاً تحت دستورالعمل NIS 1 قرار داشتند مانند انرژی، حمل‌و‌نقل، بهداشت، مالی، مدیریت آب و زیرساخت دیجیتال، دستورالعمل NIS 2 شامل بخش‌های دیگری نیز می‌شود. این بخش‌ها شامل خدمات الکترونیکی عمومی، خدمات دیجیتال دیگر مانند پلتفرم‌های اجتماعی، مدیریت فاضلاب و زباله، خدمات پستی و پیک، مدیریت عمومی یا تولیدکنندگان محصولات حیاتی است. بر اساس برآوردها، حدود 29000 شرکت در آلمان از پیاده‌سازی دستورالعمل NIS 2 تحت‌الشعاع قرار می‌گیرند. عمدتاً از شرکت‌های متوسط و بزرگ در بخش‌های حیاتی خواسته می‌شود تا اقدامات مناسب برای امنیت سایبری اتخاذ کرده و انطباق کارآمدی را ایجاد کنند. آنها همچنین موظف هستند به مراجع مربوطه از رویدادهای امنیتی با اختلالات یا خسارات جدی اطلاع دهند.

دستورالعمل NIS 2 همچنین شامل بندهایی برای نظارت، اجرای قوا و نظرات همتا به صورت داوطلبانه برای تقویت اعتماد متقابل و امنیت سایبری در سراسر اتحادیه اروپا است. این همچنین به معنای آن است که مدیریت در پاسخگویی مسئولیت دارد، اگر اقدامات مدیریت ریسک‌های امنیت سایبری رعایت نشوند.

واکنش به حملات امنیت سایبری

با دستورالعمل NIS 2، یک شبکه از تیم‌های پاسخگویی به حوادث امنیت کامپیوتر ایجاد می‌شود تا تهدیدات امنیتی را تبادل و به رویدادها به‌طور مناسب واکنش نشان دهند. علاوه بر این، شبکه اروپایی سازمان‌های ارتباطی برای بحران‌های سایبری تأسیس می‌شود. این شبکه از تبادل منظم اطلاعات بین کشورهای عضو و ارگان‌های اتحادیه اروپا حمایت می‌کند تا بتوانند به رویدادها و بحران‌های بزرگ واکنش نشان دهند.

اینکه دقیقاً چگونه NIS 2 در آلمان به قانون ملی تبدیل خواهد شد هنوز مشخص نیست. دلیل آن این است که اجرای آن به دلیل انتخابات پیش از موعد بوندستاگ به تعویق افتاده است. اما واضح است که با اجرای آن، امنیت سایبری برای بسیاری از شرکت‌های متوسط نیز به یک موضوع تبدیل خواهد شد.

شرکت‌ها باید اقدامات امنیتی را اجرا کنند

آنها با NIS 2 با چالش اجرای اقدامات امنیتی لازم روبرو هستند تا داده‌ها و زیرساخت‌های حیاتی خود را در برابر حملات سایبری محافظت کنند. برای این منظور باید اقدامات فنی و سازمانی لازم اتخاذ شود. اگر شرکت قربانی حمله سایبری شود، باید برنامه‌هایی برای محدود کردن فوری خسارت و بازیابی سیستم‌ها وجود داشته باشد. همچنین باید مراجع مربوطه مطلع شوند. علاوه بر این، شرکت‌ها باید آزمون‌های منظم برای شناسایی و از بین بردن نقص‌ها انجام دهند. امنیت سایبری باید درون زنجیره تأمین هم وجود داشته باشد. بنابراین در اینجا نیز باید به ریسک‌ها پاسخ داده شود.

پیاده‌سازی دستورالعمل NIS 2 به معنای چالش‌های انطباق کارآمد در شرکت‌های متاثر است، به‌خصوص که هیئت‌های مدیره و رهبری می‌توانند به مسئولیت شخصی کشیده شوند اگر اقدامات امنیتی لازم اجرا نشوند.

MTR Legal Rechtsanwälte به شرکت‌ها در اجرای سیستم‌های انطباق مؤثر کمک کرده و اطمینان حاصل می‌کند که الزامات قانونی رعایت می‌شوند. به عنوان یک دفتر حقوقی تجاری, MTR Legal مشاوره می‌دهد به انطباق و موضوعات دیگر حقوق کیفری اقتصادی.

لطفاً با ما تماس بگیرید!