2 שקלים: המשמעות של השינויים המוצעים עבור העסק שלך

מאת רבקה הרפר • 9 אפריל 2023

בחודש דצמבר 2022, האיחוד האירופי אישרו כי הם מתקדמים עם תוכניות להרחיב את היקף הוראת רשת ומערכות מידע (ש"ח) כך שיכלול מיקור חוץ וספקי שירותים מנוהלים.

שורה של רפורמות ועדכונים בהנחיית מערכות המידע ברשת (ש"ח) נדחקה קדימה כדי לחזק עוד יותר את חוסן הסייבר. ה-2 ₪ החדשים יביאו ספקי IT במיקור חוץ וספקי שירותים מנוהלים (MSPs) במסגרת הכללים להגנה טובה יותר על שרשראות אספקה חיוניות ושירותים לאומיים קריטיים מפני התקפות סייבר בעקבות הפרעות משמעותיות במהלך השנים האחרונות.

בהודעה לעיתונות, מועצת האיחוד האירופי אמרה כי היא "תקבע את קו הבסיס לאמצעי ניהול סיכוני סייבר וחובות דיווח בכל המגזרים המכוסים על ידי ההוראה, כגון אנרגיה, תחבורה, בריאות ותשתיות דיגיטליות".

בגין אי עמידה בתקנות שקל, חברות המספקות שירותים חיוניים כמו אנרגיה, בריאות, תחבורה או מים עשויות להיקנס עד 17 מיליון ליש"ט בבריטניה ו-10 מיליון אירו או 2% מהמחזור העולמי באיחוד האירופי.

מהי הוראת מערכות המידע ברשת (ש"ח), ומדוע היא עודכנה? 

האיחוד האירופי השיק את הוראת הרשת ומערכות המידע (NIS) בשנת 2016 בעקבות חששות מוגברים להתקפות סייבר. בנוסף לחיזוק יכולות אבטחת הסייבר של המדינות החברות, קיוותה ההוראה להגביר את שיתוף הפעולה בנושא אבטחת סייבר בין המדינות החברות. זה גם עודד מדינות לפקח על אבטחת סייבר בכל התשתיות הלאומיות הקריטיות שלהן (CNI), כגון אנרגיה, תחבורה ושירותי בריאות.

שבע שנים לאחר השקת ההנחיה, נוף איומי הסייבר השתנה באופן משמעותי, וההנחיה לא ממש עונה על הצרכים של תחזית סיכוני אבטחת הסייבר המתפתחת לשנת 2023. מתקפות סייבר ופצות נתונים גדלו באופן אקספוננציאלי, במיוחד כאשר אנשים נעשים תלויים יותר בטכנולוגיה דיגיטלית. בנוסף, ההתקפות המוגברות על CNI, כפי שניתן לראות במתקפת ה-SolarWinds, הפערים בחקיקה המקורית של השקל, וחוסר העקביות באופן שבו מדינות החברות יישמו את השקל מוכיחים את המגבלות של המודל הקודם ואת הצורך בהחלפה מקיפה יותר.

מהן דרישות הליבה של הוראת 2 שקלים?

2 שקלים יטפלו בסוגיות של חקיקת הש"ח הקודמת ויחמירו את הכללים. והכי חשוב, זה נוגע לאופן הבלתי עקבי של יישום הנחיית ה-NIS המקורית, שכן שיתוף הפעולה המורכב הזה בין מדינות וערער את המטרה הכוללת של הבטחת האפקטיביות של אבטחת הסייבר של האיחוד האירופי.

2 ₪ יחייבו ארגונים לוודא שהאמצעים הבאים קיימים לניהול סיכוני אבטחת סייבר:

מדיניות אבטחת מידע

חלק קריטי באבטחת סייבר הוא הערכת רמת הסיכון שלך. 2 שקלים ידרשו מחברות להעריך את ההשפעה הפוטנציאלית של מתקפה על הנכסים החיוניים ביותר שלהן ולהיות ערניים לפרצות פוטנציאליות ברשת או לחדשות של חברי תעשייה אחרים שהותקפו. הם גם יצטרכו לנקוט בגישה פרואקטיבית ולא תגובתית לניהול סיכונים על ידי הצגת חזק מדיניות אבטחת מידע להבטיח ניתוח סיכונים שיטתי ויסודי.

מניעה, איתור ותגובה של תקריות

2 שקלים מחייבים ארגונים להחזיק בתוכניות ותכניות גיבוי, להפעיל תרגילים ולהכשיר את כל הגורמים הרלוונטיים. לאחר שארגון זיהה את הפגיעויות המשמעותיות ביותר שלו, ההנחיה המעודכנת מחייבת אותם ליישם נהלים ברורים למניעת התקפות ולהסכים על שיטות לאיתור תקריות פוטנציאליות. זה אמור לגרום ל- תוכנית תגובה לאירועים עם שרשרת פיקוד שקופה ליישום.

המשכיות עסקית וניהול משברים

2 ₪ המעודכן מתכוון להבטיח כי א העסק יכול להמשיך בפעילותו במקרה של מתקפת סייבר. לארגונים חייבת להיות תוכנית ניתנת לאימות כיצד החברה תגיב למתקפה וכיצד היא יכולה להתאושש ממנה במהירות האפשרית, תוך מזעור ההפרעות. כתוצאה מכך, 2 שקלים כוללים התמקדות בפתרונות גיבוי בענן.

אבטחת שרשרת אספקה

אבטחת שרשרת האספקה נמצא תחת המיקרוסקופ בעולם כבר זמן מה. 2 שקלים מכפילים את זה ומחייבים ארגונים לשקול את נקודות התורפה של כל אחד מהספקים ונותני השירותים שלהם ואת נוהלי אבטחת הסייבר שלהם, כולל ספקי אחסון נתונים. ההוראה מבטיחה שארגונים יבינו בבירור את הסיכונים, ישמרו על קשר הדוק עם ספקים ועדכון אבטחה מתמשך כדי להבטיח את ההגנות הגבוהות ביותר האפשריות. 

גילוי פגיעות

2 שקלים ידרשו חשיפה וניהול של נקודות תורפה שקיפות יותר. ארגונים חייבים לספק דרכים לציבור לדווח על נקודות תורפה ולהבטיח שהמחלקה הרלוונטית פועלת לפי מידע זה. אם ארגון מזהה פגיעות ברשת שלו, ההנחיה המעודכנת מחייבת אותו לחשוף אותה. חשיפת נקודות תורפה כאלה תתמוך במאבק בפשעי סייבר ותבטיח שלא ינוצלו במקומות אחרים.

2 ₪ יכפו גם גישות מעודכנות ל:

דיווח על אירועים

על פי ההוראה המעודכנת, חברות חייבות להגיש דוח ראשוני תוך 24 שעות מרגע שנודע להם על כל אירוע "משמעותי", הודעת תקרית מלאה תוך 72 שעות ודיווח סופי תוך חודש לכל רשות מוסמכת רלוונטית, צוות תגובה לאירועי אבטחת מחשבים ( CSIRT), ולפעמים ללקוחות שלהם.

אירוע "משמעותי" הוא כל אירוע שגרם או עלול לגרום להפרעה תפעולית חמורה של השירות או הפסדים כספיים או אם האירוע השפיע או עלול לגרום להפסדים ניכרים לאחרים.

שיתוף פעולה

הנחיית השקל הראשונה נכשלה מכיוון שלא התחשבה בדרכים השונות שבהן פועלות מדינות בודדות. לכן 2 ₪ יהיו:

עודד יותר שיתוף נתונים בין רשויות
לדרוש מהרשויות להשתתף בתגובה לאירועים ברמת האיחוד האירופי ולא ברמה הלאומית
הקמת רשת ארגון האיחוד האירופי למשבר סייבר (EU CyCLONe), גוף מרכזי לתיאום וניהול תגובות לאירועי סייבר בכל האיחוד האירופי

על ידי ריכוז בקרות אבטחת סייבר ברמת האיחוד האירופי והנחיית כולם לציית לאותם תקני אבטחת סייבר, 2 שקלים שואפים לפשט מערכת שלא הייתה מתואמת עד כה. זה אמור להקל על שיתוף נתונים שיתופי ופתרונות יעילים יותר לאירועי סייבר בזמן שהם מתרחשים.

מי צריך לעמוד ב-2 שקלים?

2 ש"ח יחולו על כל ארגון עם יותר מ-50 עובדים שהמחזור השנתי שלהם עולה על 10 מיליון יורו וכל ארגון שנכלל בעבר בהנחיית הש"ח המקורית.  

ההוראה המעודכנת תגדיל גם את היקפה כך שתכלול את הענפים החדשים הבאים:

תקשורת אלקטרונית
שירותים דיגיטליים
מֶרחָב
ניהול פסולת
מזון
ייצור מוצר קריטי (כלומר רפואה)
שירותי דואר
מנהל ציבורי

ענפים הכלולים בהוראה המקורית יישארו בגדר ההוראה המעודכנת של 2 ₪. כמה ארגונים קטנים יותר, קריטיים לתפקוד של מדינה חברה, ייכללו גם הם בתפקיד של 2 שקלים בשל הבעיות הפוטנציאליות שעלולות להיווצר אם מתקפת סייבר תפגע בהם.

האם 2 שקלים חלים על עסקים בבריטניה?

השמיים ממשלת בריטניה אישרו שהם יתקדמו עם תוכניות לעדכן את תקנות ה-NIS כפי שהן חלות על בריטניה, ולהרחיב את הרגולציה כך שתכלול את כל ספקי השירותים המנוהלים הדיגיטליים (MSPs).

כחלק מהעדכון המתוכנן הזה בבריטניה, תהיה התאמה עם 2 ש"ח בתחומים רבים, במיוחד כאשר היא חלה על ספקי שירותים מנוהלים, מיקור חוץ של IT ודרישות ליבה כגון דיווח על אירועים, אבטחת שרשרת אספקה והמשכיות עסקית.

העדכון בבריטניה "יתבצע ברגע שהזמן הפרלמנטרי יאפשר זאת" והוא חלק מ-2.6 מיליארד ליש"ט (3.2 מיליארד דולר) של הממשלה. אסטרטגיית סייבר לאומית. לכן, בעוד ששינויים בבריטניה עשויים שלא להיכנס לתוקף כבר ב-2024, אין ערבויות, וחברות צריכות להיות מוכנות היטב במקום להיתפס קצר מאוחר יותר.

מה ההשלכות של אי עמידה ב-2 שקלים? 

2 שקלים מגיעים עם דרישות אכיפה מחמירות בהרבה מקודמו. העונשים על אי התאמה נעים מביקורת אבטחה והוראה לציית להמלצות שנקבעו לקנסות של 10 מיליון אירו או 2% מסך המחזור העולמי של הארגון - הגבוה מביניהם.

יש לציין כי קנסות אלו זהים לאלה שהוטלו עבורם GDPR הפרות, ו-2 ₪ יש להבין באופן דומה. היוזמה של 2 שקלים מייצגת קפיצת מדרגה משמעותית באבטחת הסייבר ויש להתייחס אליה ברצינות כמו השינוי הים העצום GDPR הביא להגנת מידע.

גישה מבוססת תקנים עד 2 שקלים

לארגונים המעוניינים להשיג עמידה ב-2 ₪, הסמכה נגד ISO 27001 שכן אבטחת מידע יכולה להיות צעד ראשון רב עוצמה.

תקנות ה-NIS עצמן מזכירות שכל צעד שחברות נוקטות כדי לציית צריך לשקול "עמידה בתקנים בינלאומיים", בעוד שההנחיות הטכניות שהוציאה הסוכנות האירופית לאבטחת סייבר (ENISA) ממפות כל יעד אבטחה למספר תקני שיטות עבודה מומלצות, כולל ISO 27001. 

מערכת ניהול מידע תואמת ISO 27001 (ISMS) מאפשרת לארגונים להפחית את הסיכון והחשיפה שלהם לאיומי אבטחה על ידי זיהוי המדיניות הרלוונטית שהם צריכים לתעד, הטכנולוגיות להגנה על עצמם והכשרת הצוות כדי למנוע טעויות. הם גם מחייבים שארגונים יערכו הערכות סיכונים שנתיות, מה שעוזר להם להקדים את נוף הסיכונים המשתנה ללא הרף.

ISO 27001 יסייע לארגונים לעמוד בדרישות של 2 ש"ח תוך השגת הסמכה מבוקרת עצמאית. זה מספק הוכחות לספקים, לבעלי עניין ולרגולטורים כי נקטת באמצעים הטכניים והארגוניים "המתאימים והפרופורציונליים" הנדרשים ומוכיח יתרון תחרותי בשוק.

ארגונים המעוניינים לקחת את זה צעד קדימה יכולים לשקול להוסיף ISO 22301 לניהול המשכיות עסקית. ISO 22301 נועד לעזור לך ליישם, לתחזק ולשפר ללא הרף את הגישה שלך להמשכיות עסקית. בעוד שחלק מההיבטים של ISO 27001 כוללים ניהול המשכיות עסקית (BCM), הוא אינו מגדיר תהליך ליישום BCM. שם נכנס לתמונה התקן המשלים ISO 22301. הסמכה כנגד תקן זה תוכיח עוד יותר עמידה ב-2 ₪. 

27001 ו-ISO 22301 גם עובדים יחד היטב, ויוצרים לך מרחב לפתח מערכת ניהול משולבת הכוללת גם ISMS וגם BCMS. גישה זו גם תעזור לך לפתח חוסן סייבר חזק.

2 שקלים מסקנות

לאחר פרסום הנחיית האיחוד האירופי 2 ₪ בכתב העת הרשמי של האיחוד האירופי, ההוראה נכנסה לתוקף ב-20 בדצמבר 2022. למדינות החברות עומדות 21 חודשים לשלב את ההוראות בחוק הלאומי שלהן.

לוחות הזמנים ליישום בבריטניה פחות ברורים, כאשר ממשלת בריטניה מתחייבת להקדים את החקיקה הדרושה "כאשר הזמן הפרלמנטרי יאפשר זאת". בהינתן סדרי העדיפויות הנוכחיים של הממשלה, אנו מצפים שהמשטר החדש יתקיים לא לפני 2024.

הגדר את הארגון שלך להצלחה היום עם ISO 27001

אם אתם מחפשים להשיג עמידה ב-2 ש"ח ולהתחיל את המסע שלכם לשיפור מידע ואבטחת סייבר, אנחנו יכולים לעזור.

הורד את המדריך החיוני שלנו כדי לקרוא עוד ולהתחמש בתובנה הדרושה לך כדי להישאר בקדמת העקומה ולהבטיח שהארגון שלך ערוך להצלחה.

הורדה

משאבים

ENISA – https://www.consilium.europa.eu/en/press/press-releases/2022/11/28/eu-decides-to-strengthen-cybersecurity-and-resilience-across-the-union-council- מאמצת-חקיקה-חדשה/
GOV.uk – https://www.gov.uk/government/publications/national-cyber-strategy-2022
NCSC - https://www.ncsc.gov.uk/collection/caf/nis-introduction

רבקה הרפר

רבקה היא ראש תחום שיווק תוכן ב-ISMS.online. עם למעלה מ-12 שנים בתעשיית המידע והסייבר, רבקה מחויבת לחינוך, בניית מודעות והעצמת עסקים להשגת יעדי ציות, מידע ואבטחת סייבר.