Persyaratan untuk Kepatuhan
Dengan diperkenalkannya Arahan UE 2022/2555, yang juga disebut sebagai NIS 2, persyaratan kepatuhan di perusahaan meningkat. Dengan NIS 2, ancaman serangan siber di UE direspons. Arahan ini mengatur keamanan siber dan informasi perusahaan dan institusi. Serangan siber kini diakui secara global sebagai salah satu risiko bisnis terbesar bagi perusahaan.
NIS 2 menggantikan Arahan UE 2016/1148 (NIS 1) dan bertujuan untuk meningkatkan keamanan siber di Uni Eropa dan melindungi perusahaan dengan lebih baik. Implementasi arahan NIS-2 juga memberikan peningkatan persyaratan pada manajemen risiko dan kepatuhan di banyak perusahaan. Jika tindakan tidak dilaksanakan dengan tepat di perusahaan, hal ini dapat mengakibatkan sanksi, menurut firma hukum MTR Legal.
UE menyetujui arahan NIS-2 pada tahun 2023 dan negara anggota harus mengimplementasikannya ke dalam hukum nasional pada tahun 2025. Perusahaan mana yang terpengaruh oleh arahan ini, bergantung terutama pada jenis kegiatan mereka. Arahan tersebut telah diperluas ke perusahaan lain yang dianggap penting (essential) dan penting (important). Hal ini mengakibatkan peningkatan signifikan pada perusahaan dan lembaga yang memiliki kewajiban hukum yang harus dipenuhi terhadap Kantor Federal untuk Keamanan dalam Teknologi Informasi (BSI).
Infrastruktur Kritis Terdampak
Infrastruktur kritis yang sudah termasuk dalam arahan NIS-1 seperti energi, transportasi, perawatan kesehatan, keuangan, pengelolaan air dan infrastruktur digital terpengaruh oleh arahan NIS-2 ke sektor lainnya. Ini termasuk layanan elektronik publik, layanan digital tambahan seperti platform sosial, pengelolaan air dan limbah, layanan pos dan kurir, administrasi publik atau produsen produk kritis. Diperkirakan sekitar 29.000 perusahaan lintas sektor di Jerman akan terdampak oleh pelaksanaan arahan NIS-2. Perusahaan menengah dan besar di sektor kritis terutama akan diminta untuk mengambil langkah-langkah yang sesuai untuk keamanan siber dan membangun kepatuhan yang efisien. Mereka juga diwajibkan untuk memberi tahu otoritas berwenang tentang insiden keamanan dengan gangguan atau kerusakan signifikan.
Arahan NIS-2 juga berisi ketentuan untuk pengawasan, penegakan hukum, dan tinjauan sejawat sukarela untuk memperkuat kepercayaan timbal balik dan keamanan siber di seluruh Uni Eropa. Ini juga berarti manajemen berkewajiban untuk akuntabilitas jika langkah-langkah manajemen risiko keamanan siber tidak dipatuhi.
Reaksi terhadap Serangan Keamanan Siber
Dengan arahan NIS-2, juga dibentuk sebuah jaringan Tim Tanggap Insiden Keamanan Komputer untuk berbagi informasi tentang ancaman keamanan dan merespons insiden secara tepat. Selain itu, jaringan organisasi penghubung untuk krisis siber Eropa dibentuk. Jaringan ini mendukung pertukaran informasi rutin antara negara anggota dan lembaga UE, untuk dapat bereaksi terhadap insiden dan krisis berskala besar.
Bagaimana tepatnya NIS 2 diimplementasikan dalam hukum nasional Jerman belum diputuskan. Alasan penundaan adalah pemilu Bundestag yang diajukan. Namun, jelas bahwa dengan implementasi keamanan siber, ini juga menjadi masalah bagi banyak perusahaan menengah.
Perusahaan Harus Mengimplementasikan Tindakan Keamanan
Mereka akan diuji oleh NIS 2 untuk mengimplementasikan tindakan keamanan yang diperlukan untuk melindungi data dan infrastruktur kritis dari kemungkinan serangan siber. Untuk itu, tindakan teknis dan organisasi yang diperlukan harus diambil. Jika perusahaan menjadi korban serangan siber, harus ada rencana untuk segera menanggulangi kerusakan dan memulihkan sistem. Otoritas berwenang juga harus diberitahu. Selain itu, perusahaan harus melakukan pengujian rutin untuk menemukan dan memperbaiki kelemahan. Keamanan siber juga harus ada dalam rantai pasokan. Oleh karena itu, risiko di sini juga harus diatasi.
Implementasi arahan NIS-2 berarti tantangan untuk kepatuhan yang efisien di perusahaan-perusahaan yang terdampak, karena dewan dan badan eksekutif juga dapat secara pribadi bertanggung jawab jika tindakan keamanan yang diperlukan tidak diterapkan.
MTR Legal mendukung perusahaan dalam mengimplementasikan sistem kepatuhan yang efektif dan memastikan bahwa persyaratan hukum terpenuhi. Sebagai firma hukum, MTR Legal memberikan saran tentang Kepatuhan dan topik lain dalam hukum pidana ekonomi.
Silakan hubungi kami!
