Biz haqimizdaStandartlarBlog ✦ AI baholashNarx olish →

NIS2 direktivasi — YeI tashkilotlari uchun amaliy muvofiqlik qo'llanmasi

NIS2 direktivasi YeI kiberxavfsizlik tartibga solish doirasini sezilarli kengaytiradi. Ushbu qo'llanma kimlar ta'sirlanishi, nima talab qilinishi va pragmatik muvofiqlik yo'l xaritasini qanday yaratishni tushuntiradi.

REGULYATORIKA 9 daq o'qish

NIS2 direktivasi nima?

Tarmoq va axborot xavfsizligi direktivasi 2 (NIS2), rasmiy ravishda (YeI) 2022/2555-Direktiva, Yevropa Ittifoqining kiberxavfsizlik bo'yicha yangilangan qonunchilik doirasidir. U asl NIS direktivasini (2016/1148) almashtiradi va 2022-yil dekabrda Yevropa Parlamenti va Kengashi tomonidan qabul qilindi. A'zo davlatlar NIS2 ni 2024-yil 17-oktyabrgacha milliy qonunchlikka ko'chirishi kerak edi va qo'llash endi YeI bo'ylab faol ravishda amalga oshirilmoqda.

NIS2 asl direktiva a'zo davlatlar bo'ylab parchalangan amalga oshirilish, cheklangan sektorlar qamrovi va yetarli bo'lmagan qo'llash mexanizmlariga olib kelganligi sababli joriy etildi. Yangilangan direktiva qamrovni kengaytirish, talablarni uyg'unlashtirish va nomuvofiqlik uchun sezilarli darajada yuqori jarimalarni joriy etish orqali bu kamchiliklarni bartaraf etadi.

NIS2 kimlarga taalluqli?

NIS2 qamrovdagi tashkilotlar sonini keskin kengaytiradi. Faqat milliy belgilashga tayanish o'rniga, u hajm chegarasi qoidasini joriy etadi: qamrovdagi sektorda faoliyat yurituvchi har qanday o'rta yoki yirik korxona avtomatik ravishda direktivaga bo'ysunadi. Direktiva sub'ektlarni ikki darajaga tasniflaydi:

Muhim sub'ektlar yuqori muhimlik sektorlaridagi tashkilotlarni o'z ichiga oladi:

  • Energetika (elektr, neft, gaz, vodorod, markazlashtirilgan isitish)
  • Transport (havo, temir yo'l, suv, avtomobil)
  • Bank va moliyaviy bozor infratuzilmalari
  • Sog'liqni saqlash (kasalxonalar, laboratoriyalar, farmatsevtik ishlab chiqarish)
  • Ichimlik suvi va oqova suvlarni boshqarish
  • Raqamli infratuzilma (DNS, TLD reestrlari, bulut hisoblash, ma'lumotlar markazlari, CDN lar, ishonchli xizmat ko'rsatuvchilar)
  • AKT xizmatlarini boshqarish (B2B boshqariladigan xizmat va xavfsizlik xizmat ko'rsatuvchilari)
  • Davlat boshqaruvi (markaziy hukumat organlari)
  • Kosmik soha

Muhim sub'ektlar qo'shimcha muhim sektorlarni qamrab oladi:

  • Pochta va kuryer xizmatlari
  • Chiqindilarni boshqarish
  • Kimyoviy ishlab chiqarish, mahsulot va tarqatish
  • Oziq-ovqat ishlab chiqarish, qayta ishlash va tarqatish
  • Ishlab chiqarish (tibbiy asboblar, elektronika, mashinasozlik, avtomobillar)
  • Raqamli provayderlar (onlayn bozorlar, qidiruv tizimlari, ijtimoiy tarmoq platformalari)
  • Tadqiqot tashkilotlari

Asosiy muvofiqlik talablari

NIS2 ning 21-moddasi tashkilotlardan kiberxavfsizlik xavflarini boshqarish uchun tegishli va mutanosib texnik, operatsion va tashkiliy choralarni qabul qilishni talab qiladi.

Xavflarni boshqarish va boshqaruv

Boshqaruv organlari kiberxavfsizlik xavflarini boshqarish choralarini tasdiqlashi va ularning amalga oshirilishini nazorat qilishi kerak. Muhimi, NIS2 shaxsiy javobgarlikni joriy etadi: boshqaruv a'zolari nomuvofiqlik uchun javobgar bo'lishi mumkin. 20-modda bo'yicha boshqaruv uchun majburiy kiberxavfsizlik o'qitishi ham talab qilinadi.

Hodisalar haqida hisobot berish

NIS2 qat'iy muddatlar bilan ko'p bosqichli hodisa hisobot doirasini belgilaydi:

  • Dastlabki ogohlantirish — muhim hodisadan xabardor bo'lgandan keyin 24 soat ichida
  • Hodisa xabarnomasi — 72 soat ichida, og'irlik va ta'sirning boshlang'ich baholashini o'z ichiga olgan holda
  • Yakuniy hisobot — bir oy ichida, hodisaning batafsil tavsifi, asosiy sabab tahlili va qo'llanilgan yumshatish choralari bilan

Yetkazib berish zanjiri xavfsizligi

Tashkilotlar yetkazib berish zanjiridagi kiberxavfsizlik xavflarini baholashi va hal qilishi kerak, shu jumladan to'g'ridan-to'g'ri yetkazib beruvchilar va xizmat ko'rsatuvchilarni.

Biznes uzluksizligi

Choralar zaxira boshqaruvi, falokatlardan tiklash va inqirozni boshqarish protseduralarini o'z ichiga olishi kerak.

Nomuvofiqlik uchun jarimalar

  • Muhim sub'ektlar: 10 million yevrogacha yoki global yillik aylanmasining 2% gacha, qaysi biri ko'proq bo'lsa
  • Muhim sub'ektlar: 7 million yevrogacha yoki global yillik aylanmasining 1,4% gacha, qaysi biri ko'proq bo'lsa

NIS2 va ISO 27001 — Tabiiy moslashuv

ISO/IEC 27001:2022 sertifikatiga ega yoki unga intilayotgan tashkilotlar NIS2 muvofiqlik uchun yaxshi pozitsiyada. O'zaro kesishish muhim: ikkala doira ham xavfga asoslangan yondashuv, hujjatlashtirilgan siyosatlar, hodisalarni boshqarish, kirish nazorati, biznes uzluksizligini rejalashtirish va yetkazib beruvchi xavfsizligini boshqarishni talab qiladi.

Biroq, faqat ISO 27001 to'liq NIS2 muvofiqligini kafolatlamaydi. Asosiy bo'shliqlar quyidagilarni o'z ichiga olishi mumkin:

  • NIS2 tomonidan majburiy qilingan aniq hodisa hisobot muddatlari (24 soat / 72 soat / 1 oy)
  • Boshqaruv organi javobgarligi va majburiy o'qitish qoidalari
  • Milliy transpozitsiya qonunlari tomonidan qo'yiladigan sektorga xos talablar
  • Muvofiqlashtirilgan zaifliklarni oshkor qilish sxemalarida ishtirok etish

Amalga oshirish muddatlari

Direktiva 2023-yil 16-yanvarda kuchga kirdi, transpozitsiya muddati 2024-yil 17-oktyabr. 2026-yil boshiga kelib, YeI a'zo davlatlarining aksariyati milliy amalga oshirish qonunchiligini qabul qildi.

Amaliy amalga oshirish yo'l xaritasi quyidagilarni o'z ichiga oladi:

  • 1-bosqich: Tashkilotingiz qamrovga kiradimi yoki yo'qligini aniqlang (sektor, hajm, muhimlik)
  • 2-bosqich: 21-modda talablari va mavjud nazorat choralariga nisbatan bo'shliq tahlilini o'tkazing
  • 3-bosqich: Boshqaruv tuzilmalarini yarating, shu jumladan boshqaruv organi mas'uliyatlarini
  • 4-bosqich: Texnik va tashkiliy choralarni amalga oshiring
  • 5-bosqich: Hodisa hisobot protseduralarini sinab ko'ring va mavjud AXBT ish oqimlariga integratsiya qiling
  • 6-bosqich: Davomiy muvofiqlikni tekshirish uchun ichki auditlar va rahbariyat ko'rib chiqishlarini o'tkazing

BALTUM sizning NIS2 muvofiqligingizni qanday qo'llab-quvvatlaydi

BALTUM NIS2 muvofiqligini boshqarayotgan tashkilotlar uchun keng qamrovli yordam ko'rsatadi. Xizmatlarimiz qamrov baholashlari, NIS2 va ISO 27001 ga xaritalangan bo'shliq tahlillari, zarur siyosat va protseduralarni ishlab chiqish, hodisalarga javob berishni rejalashtirish, yetkazib berish zanjiri xavfini baholash doiralari va rahbariyat o'qitish dasturlarini o'z ichiga oladi.

Dastlabki konsultatsiyani rejalashtirish uchun biz bilan bog'laning.