.svg){kind=small}
.svg){kind=small}
.svg){kind=small}
מבוא: פרדיגמה חדשה של אבטחת סייבר
הנחיית NIS2, שנכנסה לתוקף ב-17 בינואר 2023 (16 באוקטובר באיטליה), מייצגת שינוי עמוק בהשוואה להנחיית NIS הקודמת. מסגרת רגולטורית זו שואפת ליצור אסטרטגיית סייבר משותפת לכל המדינות החברות באיחוד האירופי, כאשר המטרה העיקרית היא להגביר את רמות האבטחה של שירותים דיגיטליים ברחבי האיחוד האירופי.
עונת היישום של הנחיית NIS2 האירופית החלה רשמית, ומייצגת שינוי משמעותי יותר בגישת ניהול אבטחת מידע.
למרות הערכת מאמצי התקשורת של הסוכנות הלאומית לאבטחת סייבר (ACN), אשר נותנת עדיפות לתהליכי דיכוי וסנקציות על פני קידום השתתפות פעילה, ברור כי יישום מטרות ההנחיה אינו ניתן לפתרון פשוט על ידי עמידה רשמית במערכת ניהול האבטחה - המכונה בדרך כלל "אבטחת נייר" - אלא דורש מאמץ ניכר להגדרת יעדי אבטחה קונקרטיים וברי קיימא.
הרחבת ההיקף: מי מעורב ב-NIS2?
הנחיית NIS2 מייצגת צעד משמעותי לקראת אבטחת סייבר טובה יותר וחוסן משותף ברמה האירופית. בכל הנוגע לתקנות והנחיות, חברות רבות רואות בעמידה בתקנות את המטרה הסופית: משהו שעליהן לעמוד בו על ידי עמידה בדרישות המינימום. עם זאת, יש לראות זאת כנקודת התחלה להשגת רמות גבוהות יותר של אבטחת סייבר.
הנחיית NIS2 היא תוצאה של עדכון יסודי של ה-NIS ומסמנת צעד חשוב נוסף לקראת הגדרה מלאה של אסטרטגיית הסייבר האירופית, וקביעת תגובות מתאימות, מתואמות וחדשניות מצד המדינות החברות כדי להבטיח את המשכיות השירותים הדיגיטליים במקרה של אירועי אבטחה.
NIS2 מרחיב משמעותית את היקף הנחיית NIS הקודמת, וכולל מגזרים חיוניים כגון ניהול פסולת, תחבורה, תעשיית המזון, אספקה וחלוקה של מי שתייה, תשתיות דיגיטליות, מינהל ציבורי, ייצור, מחקר ופיתוח של תרופות ומכשור רפואי, ומגזר החלל.
צו חקיקה 138/2024, אשר מיישם את הנחיית NIS2 למערכת המשפטית שלנו, קובע כי ההוראות יחולו החל מ-16 באוקטובר 2024.
התקנה לא תחול על עסקים קטנים אלא אם כן הישות מזוהה כ"קריטית" על פי הוראת ECR , ספקית של רשתות תקשורת אלקטרוניות ציבוריות, ספקית שירותי נאמנות, או נופלת תחת קטגוריות ספציפיות אחרות הנחשבות חיוניות.
NIS2 חל גם על חברות המעסיקות פחות מ-50 עובדים אם הן מספקות שירות חיוני במדינה חברה, אם השירות שלהן חיוני לבטיחות הציבור, לביטחון או לבריאותו, או אם הן חלק משרשרת האספקה של חברה חיונית או חשובה.
הבעיות הקריטיות העיקריות עבור עסקים
1. בעיות מורכבות וסיווג של מודלים שכבתיים
מורכבות תפעולית זו באה לידי ביטוי בבחירתו של המחוקק האיטלקי לעצב מודל "שכבתי". השכבה הראשונה היא הסטנדרטית, כלומר ישויות חיוניות או חשובות שחורגות ממגבלות הגודל לעסקים קטנים. השכבה השנייה מורכבת מאותן ישויות אשר, ללא קשר לגודלן או למחזורן, נופלות לקטגוריות ספציפיות שנקבעו.
בעיה משמעותית נוגעת למדידה עצמה של ההיבט הממדי, עקב ההתייחסות למושג "חברות קשורות", שלגביו, בעולם העסקים, אין תמיד בהירות ראייה מוחלטת.
הקשר בין שתי חברות או יותר, תיאורטית, אינו תלוי ברצון להקים קבוצה רשמית, וכתוצאה מכך נכללות מקטגוריית העסקים הקטנים והבינוניים אותן ישויות אשר, אפילו אם נשקלו אותן כל אחת בנפרד, לא יגיעו למגבלות הגודל שנקבעו בחוק.
2. עלויות כלכליות וארגוניות
במעבר מהתהליך האידיאלי לגישה קונקרטית, הסוגיה שונה למדי, שכן היא נתקלת בקנה המידה הכלכלי של מדינה שהמבנה הבסיסי שלה מורכב ממספר רב של עסקים קטנים ובינוניים. זה מהווה אתגר משמעותי ביישום NIS2, אשר עלול להתגלות כמעמסה יתרה עבור ישויות קטנות יותר.
הסנקציות במסגרת הנחיית NIS2, שנוצרו במטרה לשפר את אבטחת הסייבר באיחוד האירופי, הן בעיקר מנהליות ופליליות. מפעילים חיוניים עלולים להיות כפופים לקנסות מנהליים של עד 10 מיליון אירו או 2% מסך המחזור הגלובלי שלהם. עם זאת, מפעילים גדולים עלולים להיות כפופים לקנסות של עד 7 מיליון אירו או עד 1.4% מסך המחזור הגלובלי שלהם.
3. אחריות ניהולית
צו החקיקה מציג ודאות: גופים אדמיניסטרטיביים וניהוליים יידרשו לתת דין וחשבון. גופי ניהול החברה יידרשו למלא תפקיד פעיל בעמידה בחקיקה, יידרשו לאשר את שיטות היישום של אמצעי ניהול סיכוני אבטחה, לפקח על יישום החובות שנקבעו בחקיקה, וייישאו באחריות להפרות.
4. דיווח על אירועים וניהול סיכונים
צו היישום מחזק את חובות הדיווח על אירועים, ומחייב דיווח ל-CSIRT איטליה על אירועים בעלי השפעה משמעותית על מתן השירות ללא דיחוי בלתי סביר. תהליך הדיווח דורש מועדים נוקשים: הודעה מוקדמת תוך 24 שעות, הודעה תוך 72 שעות מהאירוע ודוח סופי תוך חודש מהאירוע.
הנחיית NIS2 קובעת סדרה של דרישות מרכזיות שארגונים חייבים לעמוד בהן כדי להבטיח רמה גבוהה של אבטחת סייבר. דרישות אלה כוללות: ניתוח סיכונים ומדיניות אבטחת מערכות מידע, אסטרטגיות להערכת יעילותם של אמצעי ניהול סיכונים, ונהלי היגיינה דיגיטלית בסיסיים והכשרה באבטחת סייבר.
5. התמקדו בשרשרת האספקה
עולה כי החקיקה המיישמת את הנחיית NIS2 מתמקדת לא רק במגזרים הנחשבים קריטיים ביותר או קריטיים, אלא, באופן מעמיק, גם בספקים שלהם, ובכך מרחיבה משמעותית את מספר הגופים שסביר להניח שיושפעו מיישום צו החקיקה.
הוראת NIS 2 מחייבת גופים מחויבים לאמץ אמצעים טכניים, תפעוליים וארגוניים מתאימים ומידתיים לניהול הסיכונים הנשקפים לאבטחת מערכות ורשתות מידע, תוך התחשבות גם באבטחת שרשרת האספקה, לרבות היבטי אבטחה הקשורים ליחסים בין כל גוף לספקים או ספקי שירותים ישירים שלו.
מועדי יעד מרכזיים לעמוד בהם
המירוץ לציות מתחיל, כאשר הציות צפוי להסתיים עד אוקטובר 2026. עד תחילת 2025, חברות שזוהו כישויות NIS2 חייבות לפעול בכל האמצעים הנדרשים, כולל מערכות ניהול אבטחת סייבר ואחריות ניהולית. עד מאי 2025, חברות חייבות לעדכן את הנתונים שלהן בפלטפורמה המוסדית. הדרישה הרשמית להודעה בזמן על אירועים משמעותיים נכנסת לתוקף בינואר 2026, בעוד שארגונים חייבים ליישם את כל אמצעי האבטחה הנדרשים עד ספטמבר 2026.
התקנה החדשה לאבטחת רשתות ומידע (NIS) נכנסה לתוקף ב-16 באוקטובר 2024. ACN היא רשות ה-NIS המוסמכת ונקודת הקשר היחידה. החל מ-1 בדצמבר 2024 ועד 28 בפברואר 2025, עסקים בינוניים וגדולים, כולל עסקים קטנים ומיקרו, ומנהלים ציבוריים עליהם חלה התקנה החדשה חייבים להירשם בפורטל השירות של ACN.
מסקנות: שינוי פרדיגמה הכרחי אך מאתגר
הקישוריות והדיגיטציה הגוברות של החברה הפכו מוסדות, עסקים ואזרחים לחשופים יותר ויותר לאיומי סייבר.
הנהגת הסוכנות הלאומית לסייבר התחייבה בפומבי להפוך את התהליך הזה לבר-קיימא, דבר שיכול לסמן נקודת מפנה ביכולתה של המדינה להתמודד עם איומים גוברים. יהיה צורך להמתין ולראות כיצד המרקם הייצורי והמנהלי של המדינה יגיב למה שהוא בבירור שינוי תרבותי עמוק, אשר, כפי שברור, לא יהיה טיול בפארק וגם לא "נייטרלי מבחינת עלות".
לכן, עמידה בדרישות NIS2 לא רק משרתת את החברה בתאימות, אלא גם יכולה להיות הזדמנות מצוינת להכניס תרבות של אבטחה וכן שיטות עבודה מומלצות טכניות וארגוניות שיכולות לשפר משמעותית את אבטחת ה-IT. עם זאת, חשוב להתחיל לפתח תוכנית תאימות באופן מיידי כדי לתקנן בהדרגה את הנכסים והצוות השונים של החברה באמצעות הכשרה תקופתית מתאימה.
גם אם אינכם נמנים עם החברות הנדרשות לעמוד בהנחיית NIS2, חשוב להתחיל תוכנית מודעות לסיכוני סייבר כדי להגן על עתיד העסק שלכם.
לכן, NIS2 מייצג אתגר מורכב אך הכרחי עבור חברות איטלקיות. בעוד שהוא מטיל חובות ואחריות חדשות שעשויות להיראות מכבידות, הוא גם מציע הזדמנות לחשוב מחדש על אבטחת סייבר כאלמנט אסטרטגי ולא רק כעלות.
