דרישות הציות
עם כניסת הדירקטיבה האירופית 2022/2555, המכונה בקצרה NIS 2, הדרישות עבור ציות בחברות עלו. באמצעות NIS 2 נענים לאיום של מתקפות סייבר באיחוד האירופי. הדירקטיבה מסדירה את אבטחת הסייבר והמידע בחברות ומוסדות. כיום מותקפות סייבר נחשבות לסיכוני העסקים הגדולים ביותר לחברות ברחבי העולם.
ה-NIS 2 מחליפה את הדירקטיבה האירופית 2016/1148 (NIS 1) ומטרתה לשפר את אבטחת הסייבר באיחוד האירופי ולהגן טוב יותר על החברות. יישום הדירקטיבה NIS 2 מעלה גם את הדרישות לניהול סיכונים וציות בעסקים רבים. אם לא ייושמו הצעדים בחברות באופן מתאים, זה עלול להוביל לסנקציות, כך לפי משרד עורכי הדין MTR Legal Rechtsanwälte.
האיחוד האירופי אימץ את הדירקטיבה NIS 2 בשנת 2023 ועד שנת 2025 על המדינות החברות להעביר אותה לחוק לאומי. אילו חברות מושפעות מהדירקטיבה תלוי בעיקר באופי פעילותן. הדירקטיבה הורחבה על עוד חברות הנחשבות כמהותיות וחשובות. זה מוביל לעלייה ניכרת במספר החברות והגופים אשר חייבים למלא חובה חוקית כלפי המשרד הפדרלי לאבטחת מידע (BSI).
תשתיות קריטיות מושפעות
בתשתיות הקריטיות שכבר נפלו תחת הדירקטיבה NIS 1 כמו אנרגיה, תחבורה, בריאות, פיננסים, ניהול מים ותשתית דיגיטלית מושפעים עוד מגזרים מהדירקטיבה NIS 2. אלה כוללים שירותים אלקטרוניים ציבוריים, שירותים דיגיטליים נוספים כמו פלטפורמות חברתיות, ניהול שפכים ופסולת, שירותי דואר ושליחים, מנהל ציבורי או יצרני מוצרים קריטיים. לפי הערכות, בגרמניה כ-29,000 חברות באורך ענפים שונים יושפעו מיישום הדירקטיבה NIS 2. בעיקר, יידרשו חברות בינוניות וגדולות במגזרים הקריטיים לנקוט צעדים מתאימים לאבטחת הסייבר ולהקים ציות יעיל. הן תידרשנה גם להודיע לרשויות המוסמכות על אירועי אבטחה עם הפרעות או נזקים משמעותיים.
הדירקטיבה NIS 2 כוללת גם הוראות לפיקוח, אכיפה וביקורות עמיתים וולנטריות, לחיזוק האמון ההדדי ואבטחת הסייבר ברחבי האיחוד האירופי. המשמעות היא גם שדרג ההנהלה נתון לחובת דיווח אם צעדי ניהול הסיכונים לאבטחת הסייבר אינם מתקיימים.
תגובה למתקפות על אבטחת הסייבר
עם הדירקטיבה NIS 2 מוקם רשת של צוותים לתגובה לתקלות אבטחת מחשב, כדי לחלוק מידע על איומי האבטחה ולהגיב לאירועים בצורה הולמת. בנוסף, מוקם הרשת האירופית של ארגוני חיבור למצבי חירום בסייבר. רשת זו תומכת בחילופים מידע רגילים בין המדינות החברות וגופים באיחוד האירופי כדי להיות מסוגלים להגיב לאירועים ומשברים בקנה מידה גדול.
כיצד בדיוק תיושם NIS 2 בגרמניה בחוק לאומי עדיין לא ברור. הסיבה לכך היא שהיישום התעכב בשל הבחירות הכלליות המקדימות. אך ברור שחברות בינוניות רבות יעסקו באבטחת סייבר עם היישום.
חברות צריכות ליישם אמצעי אבטחה
הן נתקלות באתגר של NIS 2 ליישם את האמצעי האבטחה הדרושים כדי להגן על נתונים ותשתיות קריטיות מפני מתקפות סייבר אפשריות. לצורך כך יש לנקוט אמצעים טכניים וארגוניים הדרושים. אם החברה תיפגע ממתקפת סייבר, יש לקבוע תוכניות לצמצם את הנזק מיד ולהשיב את המערכות. כמו כן, יש להודיע לרשויות המוסמכות. מעבר לכך, החברות צריכות לבצע בדיקות סדירות כדי לאתר ולהסיר חולשות. אבטחת הסייבר צריכה להיות קיימת גם בשרשרת האספקה. לכן, יש גם כאן להגיב לסיכונים.
יישום הדירקטיבה NIS 2 מציב אתגרי ציות יעילים בחברות המושפעות, שכן גם מנהלים וגורמים בכירים יכולים לעמוד באחריות אישית אם לא ייושמו אמצעי האבטחה הדרושים.
MTR Legal Rechtsanwälte תומכת בחברות ביישום מערכות ציות יעילות ודואגת לעמוד בדרישות החוק. כסוכנות ייעוץ כלכלית, MTR Legal מייעצת גם ב ציות ובנושאי משפט כלכלי נוספים.
הינכם מוזמנים ליצור קשר איתנו!
