ما الذي تعنيه اللوائح السيبرانية الجديدة الصارمة بالنسبة للشركات الكبرى؟
أوسكار وونغ | لحظة | صور جيتي
قد تواجه الشركات غرامات باهظة أو حتى تعليق الخدمة في الاتحاد الأوروبي بموجب لوائح جديدة صارمة للأمن السيبراني من المقرر أن تدخل حيز التنفيذ الشهر المقبل.
سيصبح توجيه الأمن السيبراني NIS 2 الخاص بالاتحاد الأوروبي قابلاً للتنفيذ في 17 أكتوبر من قبل الدول الأعضاء. وهذا يعني أنه سيتعين على الشركات التأكد من أن عملياتها تتوافق مع الالتزامات المنصوص عليها في القانون الجديد.
تفرض القواعد متطلبات أكثر صرامة على الشركات فيما يتعلق باستراتيجيتها الداخلية للمرونة السيبرانية وممارساتها الداخلية.
تعرض CNBC كل ما تحتاج لمعرفته حول 2 شيكل – بدءًا مما يتطلبه القانون وحتى العقوبات المحتملة التي قد تواجهها الشركات بسبب الانتهاكات.
ما هو 2 شيكل؟
NIS 2، الذي يرمز إلى توجيه أمن الشبكات والمعلومات 2، هو توجيه من الاتحاد الأوروبي يهدف إلى زيادة أمان أنظمة وشبكات تكنولوجيا المعلومات عبر الكتلة. تم تقديم القانون في عام 2020، وهو بمثابة تحديث لتوجيه سابق يسمى ببساطة NIS.
يعمل NIS 2 على توسيع نطاق سابقه لمعالجة تحديات وتهديدات الأمن السيبراني الأحدث التي ظهرت عندما وجد المجرمون طرقًا جديدة لاختراق الشركات وتعريض بياناتها الحساسة للخطر.
وينطبق التوجيه على المنظمات التي تعمل داخل الاتحاد الأوروبي وتقدم الخدمات الأساسية للمستهلكين، بما في ذلك البنوك وموردي الطاقة ومؤسسات الرعاية الصحية ومقدمي الإنترنت وشركات النقل ومعالجي النفايات.
والمجالات الرئيسية التي ستتناولها هي إدارة المخاطر، ومساءلة الشركات، والتزامات الإبلاغ، والتخطيط لاستمرارية الأعمال في حالة حدوث خرق إلكتروني.
صرح جيرت فان دير ليندن، نائب الرئيس التنفيذي لخدمات الأمن السيبراني العالمي في Capgemini، لـ CNBC أن NIS 2 قد وضع بشكل فعال خط أساس جديد للشركات بشأن ما هو مقبول لحماية المواطنين والحفاظ على العمليات والبقاء صامدين في مواجهة الهجمات الإلكترونية.
وأضاف فان دير ليندن أن “الشيكل 2 سينظر إليه القضاة على أنه معيار عالمي” عندما يصبح قابلا للتنفيذ. “بالنسبة لعملائنا، بغض النظر عما إذا كان يُنظر إليهم على أنهم أساسيون أو مهمون في اللائحة، عليهم أن ينظروا إلى خط الأساس هذا ويتأكدوا من امتثالهم.”
وأضاف فان دير ليندن أنه من خلال تلبية خط الأساس هذا، ستحمي الشركات نفسها بشكل فعال ضد المطالبات. وقارن ذلك بالحصول على تأمين على المنزل لحماية منزلك من اللصوص.
وقال “أين يذهب اللصوص؟ إنه دائما المنزل الأقل حماية. إنهم يفتحون كل باب ليروا أين يمكنهم الدخول”. وأضاف فان دير ليندن أن الأمر نفسه ينطبق على الشركات التي تتطلع إلى حماية نفسها من الهجمات الإلكترونية.
وبموجب شيكل 2، سيتعين على الشركات أيضًا فحص سلاسل التوريد الرقمية الخاصة بها بحثًا عن التهديدات ونقاط الضعف السيبرانية. تستخدم الشركات اليوم العديد من المنتجات والأدوات المختلفة كل يوم، مما يمنح المجرمين المزيد من السبل المحتملة للهجوم.
وقال كريس جاو، رئيس فريق السياسة العامة للاتحاد الأوروبي في شركة Cisco، لـ CNBC إن “تمرين رسم الخرائط” سيتم إجراؤه بموجب NIS 2 حيث يتعين على الشركات فحص بائعي التكنولوجيا لتقييم أي مخاطر محتملة.
سيكون على الشركات أيضًا “واجب الرعاية” للإبلاغ عن المعلومات حول نقاط الضعف والاختراقات السيبرانية ومشاركتها مع الشركات الأخرى بموجب 2 شيكل – حتى لو كان ذلك يعني الاضطرار إلى الاعتراف بكونها ضحية لاختراق سيبراني.
ماذا لو فشلت الشركة في الالتزام؟
وقد تواجه الشركات التي لا تلتزم بالقانون الجديد غرامات محتملة هائلة، إلى جانب إجراءات عقابية أخرى.
بالنسبة للكيانات التي تعتبر أساسية، مثل شركات النقل والتمويل والمياه، فإن عدم الالتزام بالشيكل 2 يمكن أن يؤدي إلى غرامة تصل إلى 10 ملايين يورو (11.1 مليون دولار) أو 2% من الإيرادات السنوية العالمية – أيهما ينتهي بالمبلغ الأعلى. .
وفي الوقت نفسه، تواجه الشركات التي تعتبر ضرورية ــ مثل شركات الأغذية، وشركات المواد الكيميائية، وخدمات إدارة النفايات ــ غرامات تصل إلى 7 ملايين يورو أو 1.4% من إيراداتها السنوية العالمية لعدم الامتثال.
يمكن أن تواجه الشركات أيضًا تعليقًا محتملاً للخدمة إذا فشلت في الالتزام بـ NIS 2، بالإضافة إلى الإشراف الدقيق لمعرفة ما إذا كانت متوافقة.
إذا وقعت شركة ما ضحية لاختراق إلكتروني، فسيكون أمامها 24 ساعة لتقديم إشعار إنذار مبكر إلى السلطات. يعد هذا أكثر صرامة من المهلة الزمنية البالغة 72 ساعة التي يتعين على الشركات إخطار السلطات بشأن انتهاك البيانات بموجب اللائحة العامة لحماية البيانات (GDPR)، وهو قانون منفصل لخصوصية البيانات في الاتحاد الأوروبي.
“إن التحضير لـ NIS 2 ليس سباقًا لمعرفة ما يمكنك الإفلات منه، بل هو سباق تتسابق فيه أقوى المؤسسات لتجاوز خط الأساس والاستفادة من هذا الجهد لتحقيق ميزتها التنافسية،” كارل ليونارد، استراتيجي الأمن السيبراني في أوروبا والشرق الأوسط وأفريقيا لدى Proofpoint ، لشبكة سي إن بي سي.
وقال ليونارد: “أتوقع أن يتم دعم المنظمات بشكل أفضل من خلال الجهود المنسقة على مستوى الاتحاد الأوروبي”. “سيشمل ذلك معلومات مشتركة عن التهديدات، ومستوى مشترك أعلى من الأمن السيبراني وعقلية “نحن في هذا معًا””.
هل الشركات جاهزة؟
وتتسابق الشركات من أجل وضع عملياتها وضوابطها الداخلية، بالإضافة إلى الثقافة الأوسع حول الأمن السيبراني، قبل الموعد النهائي في 17 أكتوبر.
وقال غاو من شركة Cisco إنه حتى بدون التهديد بفرض لوائح تنظيمية جديدة تلوح في الأفق، فإن الشركات تعمل بجد لتغيير ثقافتها داخليًا للتأكد من أنها تأخذ تهديد الخروقات الإلكترونية وحوادث انقطاع التيار الكهربائي على محمل الجد.
“حتى بصرف النظر عما يحدث على الجانب التنظيمي، فإننا نرى أن التقارير تتم من CISO [chief information security officer] المستوى على طول الطريق حتى مجلس الإدارة والإدارة.”
وأضاف على الرغم من ذلك أن NIS 2 يدفع الشركات إلى التصرف بشكل أسرع في جعل ضوابطها وممارساتها السيبرانية متوافقة مع القواعد الجديدة.
وقال “إنه بالتأكيد له تأثير”. “أنا أرى ذلك بنفسي. يتقدم الناس داخليًا بأسئلة من المبيعات والإدارة، ويسألون “كيف يؤثر هذا علينا؟” وأضاف أن هناك “استعداد يجب القيام به الآن” للشركات للتأكد من أنها تلبي المتطلبات متطلبات شيكل 2.
ومع ذلك، حتى مع التركيز بشكل أكبر على الأمن السيبراني في غرف مجالس الإدارة، فإن هذا لم يمنع حدوث الهجمات السيبرانية.
في وقت سابق من هذا العام، أدى هجوم فدية على شركة Synnovis، وهي شركة خاصة تقدم الرعاية الصحية في المملكة المتحدة، إلى تعطيل أكثر من 3000 موعد في المستشفى والطبيب العام. وطالب المهاجم، وهو مجموعة قرصنة مقرها روسيا تدعى Qilin، بدفع فدية قدرها 40 مليون جنيه إسترليني.
وقال جاو إنه سيكون من الخطأ افتراض أن التنظيم الجديد يمكن أن يمنع وقوع حوادث مماثلة في المستقبل، لكنه أضاف أن NIS 2 ساعد في “خلق بعض التدقيق وتركيز الموارد حول إظهار كيفية رفع مستويات الأمان الشاملة”.