ข้อกำหนดสำหรับการปฏิบัติตามกฎระเบียบ
ด้วยการนำเอาคำสั่งของสหภาพยุโรปปี 2022/2555 หรือที่เรียกสั้น ๆ ว่า NIS 2 เข้ามาใช้ ข้อกำหนดสำหรับการปฏิบัติตามกฎระเบียบในบริษัทจึงเพิ่มขึ้น ด้วย NIS 2 นี้ถูกออกมาเพื่อตอบสนองต่อการคุกคามจากการโจมตีทางไซเบอร์ในสหภาพยุโรป คำสั่งนี้ควบคุมการป้องกันความปลอดภัยในไซเบอร์และข้อมูลของบริษัทและสถาบันต่าง ๆ การโจมตีทางไซเบอร์ตอนนี้ถือเป็นความเสี่ยงสำคัญต่อธุรกิจทั่วโลก.
NIS 2 แทนที่คำสั่งของสหภาพยุโรปปี 2016/1148 (NIS 1) และมีวัตถุประสงค์เพื่อพัฒนาความปลอดภัยในไซเบอร์ของสหภาพยุโรปและปกป้องบริษัทดีขึ้น การดำเนินการของคำสั่ง NIS-2 ยังต้องการการบริหารความเสี่ยงและการปฏิบัติตามกฎระเบียบที่เข้มงวดมากขึ้นในบริษัทหลายแห่ง หากมาตรการในบริษัทไม่ได้ดำเนินการอย่างเหมาะสม อาจเกิดผลสะท้อนซึ่งเป็นการออกแซงชั่นตามที่ MTR Legal Rechtsanwälte กล่าวไว้.
สหภาพยุโรปได้ออกคำสั่ง NIS-2 ในปี 2023 และภายในปี 2025 ประเทศสมาชิกจะต้องนำไปใช้ในกฎหมายภายในประเทศ การที่บริษัทใดถูกคำสั่งประกาศนั้นขึ้นอยู่กับประเภทของกิจกรรมของพวกเขา คำสั่งนี้ขยายไปยังบริษัทอื่น ๆ ที่ถือว่าสำคัญ (essential) และสำคัญ (important) ซึ่งนำไปสู่การเพิ่มขึ้นอย่างมากของบริษัทและหน่วยงานที่ต้องปฏิบัติตามข้อผูกพันทางกฎหมายกับสำนักงานรักษาความปลอดภัยในเทคโนโลยีสารสนเทศ (BSI).
โครงสร้างพื้นฐานวิกฤติที่ได้รับผลกระทบ
โครงสร้างพื้นฐานวิกฤติซึ่งเคยอยู่ภายใต้คำสั่ง NIS-1 เช่น พลังงาน การขนส่ง การแพทย์ การเงิน การจัดการน้ำ และโครงสร้างพื้นฐานดิจิทัล ภาคส่วนอื่น ๆ ได้รับผลกระทบจากคำสั่ง NIS-2 ด้วยเช่นกัน ประกอบด้วยบริการอิเล็กทรอนิกส์สาธารณะ บริการดิจิทัลอื่น เช่น แพลตฟอร์มสังคม การจัดการน้ำเสียและขยะ บริการไปรษณีย์และจัดส่ง สาธารณปกครอง หรือผู้ผลิตสินค้าวิกฤติ จากการประมาณการ คาดว่าประมาณ 29,000 บริษัทในเยอรมนีจะได้รับผลกระทบจากการนำเอาคำสั่ง NIS-2 ไปใช้ ส่วนใหญ่จะเป็นบริษัทขนาดกลางและใหญ่ในภาควิกฤติที่ต้องดำเนินการมาตรการด้านความปลอดภัยทางไซเบอร์และการปฏิบัติตามกฎระเบียบที่มีประสิทธิภาพ พวกเขายังต้องแจ้งหน่วยงานที่เกี่ยวข้องเกี่ยวกับเหตุการณ์ที่มีปัญหาใหญ่หรือเสียหาย.
คำสั่ง NIS-2 ยังมีบทบัญญัติสำหรับการกำกับดูแล การบังคับใช้ และการทบทวนโดยเพื่อนบ้านที่สมัครใจ เพื่อเสริมสร้างความเชื่อถือกันและความปลอดภัยทางไซเบอร์ในสหภาพยุโรปทั้งหมด นี้หมายความว่าการจัดการต้องมีความรับผิดชอบหากไม่ปฏิบัติตามกฎระเบียบการบริหารความเสี่ยงทางไซเบอร์.
การตอบสนองต่อการโจมตีด้านความปลอดภัยทางไซเบอร์
ด้วยคำสั่ง NIS-2 ได้มีการสร้างเครือข่ายคอมพิวเตอร์ตอบสนองต่อเหตุการณ์ความปลอดภัย (Computer Security Incident Response Teams) เพื่อแลกเปลี่ยนข้อมูลเกี่ยวกับการคุกคามความปลอดภัยและตอบสนองต่อเหตุการณ์อย่างเหมาะสม นอกจากนี้ยังมีการจัดตั้งเครือข่ายองค์กรที่เชื่อมโยงของความขัดแย้งทางไซเบอร์ซึ่งสนับสนุนการแลกเปลี่ยนข้อมูลระหว่างประเทศสมาชิกและหน่วยงานของสหภาพยุโรปเพื่อรับมือกับเหตุการณ์และวิกฤติขนาดใหญ่.
อย่างไรก็ตาม ยังไม่แน่ชัดว่าประเทศเยอรมนีจะนำ NIS 2 ไปปรับใช้ในกฎหมายภายในประเทศอย่างไร เนื่องจากการเลือกตั้งรัฐสภาที่เกิดขึ้นล่วงหน้าได้ทำให้การดำเนินการล่าช้า แต่สิ่งหนึ่งที่แน่ชัดคือด้วยการนำไปใช้ ความปลอดภัยทางไซเบอร์จะเป็นประเด็นสำหรับหลายบริษัทขนาดกลาง.
บริษัทต้องดำเนินมาตรการความปลอดภัย
บริษัทต่างๆ จะได้รับการท้าทายจาก NIS 2 ในการดำเนินมาตรการความปลอดภัยที่จำเป็นเพื่อปกป้องข้อมูลและโครงสร้างพื้นฐานสำคัญจากการโจมตีทางไซเบอร์ที่อาจเกิดขึ้น จำเป็นต้องดำเนินมาตรการทางเทคนิคและการจัดการที่จำเป็น หากบริษัทตกเป็นเหยื่อของการโจมตีทางไซเบอร์ จะต้องมีแผนสำหรับควบคุมความเสียหายและคืนค่าระบบ หากเกิดเหตุการณ์ที่ร้ายแรงต้องแจ้งหน่วยงานที่เกี่ยวข้อง นอกจากนี้บริษัทต้องดำเนินการทดสอบอย่างสม่ำเสมอเพื่อค้นหาและแก้ไขจุดอ่อน ความปลอดภัยทางไซเบอร์ต้องมีอยู่ในห่วงโซ่อุปทานด้วยเช่นกัน จึงต้องตอบสนองต่อความเสี่ยงที่เกิดขึ้น.
การดำเนินการตามคำสั่ง NIS-2 หมายถึงความท้าทายต่อการปฏิบัติตามกฎระเบียบอย่างมีประสิทธิภาพในบริษัทที่ได้รับผลกระทบ โดยเฉพาะกรรมการและหน่วยงานบริหารระดับสูงอาจต้องรับผิดชอบหากไม่ดำเนินมาตรการความปลอดภัยที่จำเป็น.
MTR Legal Rechtsanwälte ให้การสนับสนุนบริษัทต่าง ๆ ในการดำเนินการระบบความปฏิบัติตามกฎระเบียบที่มีประสิทธิภาพและรับประกันว่าจะปฏิบัติตามข้อกำหนดทางกฎหมายให้ครบถ้วน ในฐานะสำนักงานกฎหมาย MTR Legal ให้คำปรึกษาเรื่อง การปฏิบัติตามกฎระเบียบ และเรื่องอื่น ๆ ของกฎหมายอาญาเศรษฐกิจ.
โปรด ติดต่อ เราด้วย!
