Yêu cầu về tuân thủ
Với việc áp dụng chỉ thị EU 2022/2555, còn được gọi tắt là NIS 2, các yêu cầu về tuân thủ trong doanh nghiệp đã tăng lên. Với NIS 2, phản ứng lại với mối đe dọa của các cuộc tấn công mạng trong EU được thực hiện. Chỉ thị điều chỉnh an ninh mạng và an ninh thông tin của các doanh nghiệp và tổ chức. Các cuộc tấn công mạng hiện được coi là một trong những rủi ro kinh doanh lớn nhất trên toàn thế giới đối với các doanh nghiệp.
NIS 2 thay thế chỉ thị EU 2016/1148 (NIS 1) và nhằm cải thiện an ninh mạng trong Liên minh Châu Âu và bảo vệ các doanh nghiệp tốt hơn. Việc thực hiện chỉ thị NIS-2 cũng đặt ra các yêu cầu tăng cao đối với quản lý rủi ro và tuân thủ trong nhiều doanh nghiệp. Nếu các biện pháp không được thực hiện theo quy định trong doanh nghiệp, có thể dẫn đến các hình phạt, theo công ty luật kinh tế MTR Legal Rechtsanwälte.
EU đã thông qua chỉ thị NIS-2 vào năm 2023 và đến năm 2025, các quốc gia thành viên phải đưa vào luật quốc gia. Các doanh nghiệp nào bị ảnh hưởng bởi chỉ thị phụ thuộc chủ yếu vào loại hình hoạt động của họ. Chỉ thị đã mở rộng đến các doanh nghiệp khác, được coi là quan trọng (essential) và quan trọng (important). Điều này dẫn đến sự gia tăng đáng kể của các doanh nghiệp và tổ chức phải tuân thủ các nghĩa vụ pháp lý đối với Văn phòng Liên bang về An ninh Công nghệ Thông tin (BSI).
Cơ sở hạ tầng quan trọng bị ảnh hưởng
Các cơ sở hạ tầng quan trọng như năng lượng, giao thông, y tế, tài chính, quản lý nước và hạ tầng kỹ thuật số vốn đã nằm trong chỉ thị NIS-1, này bị chỉ thị NIS-2 ảnh hưởng đến các ngành khác nữa. Bao gồm các dịch vụ điện tử công cộng, các dịch vụ kỹ thuật số khác như nền tảng xã hội, quản lý nước thải và chất thải, dịch vụ bưu điện và chuyển phát nhanh, quản lý công cộng hoặc các nhà sản xuất sản phẩm quan trọng. Theo ước tính, tại Đức, khoảng 29.000 doanh nghiệp trên các ngành khác nhau sẽ bị ảnh hưởng bởi việc thực hiện chỉ thị NIS-2. Chủ yếu các doanh nghiệp vừa và lớn trong các ngành quan trọng sẽ được kêu gọi thực hiện các biện pháp phù hợp để đảm bảo an ninh mạng và thiết lập tuân thủ hiệu quả. Họ cũng có trách nhiệm thông báo cho các cơ quan có thẩm quyền về các sự cố an ninh gây rối loạn hoặc thiệt hại nghiêm trọng.
Chỉ thị NIS-2 cũng bao gồm các điều khoản về giám sát, thực thi và đánh giá đồng cấp tự nguyện để tăng cường lòng tin và an ninh mạng trên toàn Liên minh Châu Âu. Điều này cũng có nghĩa là ban quản lý có trách nhiệm giải trình nếu không tuân thủ các biện pháp quản lý rủi ro an ninh mạng.
Phản ứng với các cuộc tấn công về an ninh mạng
Với chỉ thị NIS-2, một mạng lưới các Đội Ứng cứu Sự cố An ninh Máy tính cũng được thành lập để chia sẻ về các mối đe dọa an ninh và phản ứng một cách phù hợp với các sự cố. Ngoài ra, mạng lưới các tổ chức liên kết về khủng hoảng mạng châu Âu cũng được tạo ra. Mạng lưới này hỗ trợ việc trao đổi thông tin thường xuyên giữa các quốc gia thành viên và cơ quan EU để có thể đối phó với các sự cố và khủng hoảng quy mô lớn.
Cách thức cụ thể mà NIS 2 được áp dụng thành luật quốc gia ở Đức vẫn chưa rõ ràng. Nguyên nhân là do việc thực hiện bị trì hoãn bởi các cuộc bầu cử Quốc hội sớm diễn ra. Tuy nhiên, điều rõ ràng là việc thực hiện này làm cho an ninh mạng trở thành một chủ đề cho nhiều doanh nghiệp vừa và nhỏ.
Doanh nghiệp phải thực hiện các biện pháp an ninh
Họ đối diện với thách thức từ NIS 2 là phải thực hiện các biện pháp an ninh cần thiết để bảo vệ dữ liệu và cơ sở hạ tầng quan trọng khỏi các cuộc tấn công mạng có thể xảy ra. Để thực hiện điều này, các biện pháp kỹ thuật và tổ chức cần thiết phải được thực hiện. Nếu doanh nghiệp trở thành nạn nhân của một cuộc tấn công mạng, phải có kế hoạch để ngay lập tức giảm nhẹ thiệt hại và phục hồi hệ thống. Đồng thời, cần thông báo cho các cơ quan có thẩm quyền. Ngoài ra, các doanh nghiệp cần thực hiện các kiểm tra thường xuyên để phát hiện và loại bỏ các lỗ hổng. An ninh mạng cũng phải tồn tại trong chuỗi cung ứng. Do đó, cũng cần phản ứng với các rủi ro tại đây.
Việc thực hiện chỉ thị NIS-2 đòi hỏi các thách thức đối với tuân thủ hiệu quả trong các doanh nghiệp bị ảnh hưởng, đặc biệt là các hội đồng quản trị và cơ quan lãnh đạo có thể bị trách nhiệm cá nhân nếu các biện pháp an ninh cần thiết không được thực hiện.
MTR Legal Rechtsanwälte hỗ trợ các doanh nghiệp trong việc thực hiện các hệ thống tuân thủ hiệu quả và đảm bảo rằng các yêu cầu pháp lý được đáp ứng. Là một công ty luật kinh tế, MTR Legal tư vấn về tuân thủ và các chủ đề khác của luật hình sự kinh tế.
Hãy liên hệ với chúng tôi!
