של בריטניה תקנות רשת ומערכות מידע (ש"ח). נכנסה לתוקף במאי 2018, בעקבות הנחיית ה-NIS של האיחוד האירופי משנת 2016. בשל העיתוי של הצגתם, רוב כלי התקשורת התמקדו בסיפור הגדול יותר של היום: הגעתו של ה-GDPR החדש. אך בניסיון לשפר את האבטחה הבסיסית בקרב "מפעילי שירותים חיוניים" (OES) במגזרי תשתית קריטיים, תקנות השקל היו חשובות לא פחות.
ה-NOK בבריטניה ביקשה להורות על פיתוח מנגנון לאומי לניהול אירועים, לשפר את שיתוף המידע בין המדינות החברות ולשפר את ניהול הסיכונים בקרב קהילת ה-OES. אבל הזמן הוא האויב של מתכנני אבטחת סייבר, והאיחוד האירופי אישר לאחרונה גרסה חדשה: הוראת ₪2. זה יחול על כל ארגוני OES מבוססי בריטניה הפועלים באיחוד האירופי.
עם זאת, כעת בריטניה עזבה את הגוש; שֶׁלָה המשטר הרגולטורי יחרוג מ-2 שקלים. עדיין לא הכל הושלם במלואו, אבל בואו נראה מה ההשלכות על ארגונים בהיקף כפי שהוא עומד.
מעלה את הרף לאבטחת סייבר בכל האיחוד האירופי
As דלויט מסבירה, 2 שקלים עוצב מתוך מחשבה על שלוש מטרות:
- שפר את חוסן הסייבר במספר הולך וגדל של מגזרי OES ברחבי האיחוד האירופי
- צמצום חוסר עקביות ברמות החוסן במגזרים שכבר מכוסים בשקל
- שפר עוד יותר את שיתוף המידע וקבע כללים חדשים לתגובה לאירועים, ובכך להגביר את האמון בין הרשויות המוסמכות (רגולטורים)
ליתר דיוק, הוא כולל מספר אלמנטים חדשים:
טווח רחב יותר: 2 שקלים מכסים ארגונים במגזרים חדשים כמו טלקום, מדיה חברתית, שפכים ומזון ויחולו על כל הארגונים הבינוניים והגדולים במגזרים הנחשבים לספקי שירותים "חיוניים" או "חשובים". כמה ארגונים במגזר הציבורי יהיו מכוסים גם כן.
קנסות כבדים יותר: הרגולטורים יוכלו להטיל קנסות על אי ציות חמור של עד 2% מהמחזור השנתי, או 10 מיליון אירו (8.6 מיליון ליש"ט), הגבוה מביניהם.
דרישות אבטחה בסיסיות: 2 שקלים מציגים סט מינימלי של אמצעים שעליו כל הארגונים לעמוד. אלו כוללים:
- מדיניות ניהול סיכונים ואבטחת מידע
- ניהול תקריות למניעה, איתור ותגובה לאירועי סייבר
- המשכיות עסקית וניהול משברים
- אבטחת שרשרת האספקה
- בדיקה וביקורת של אמצעי אבטחה
- הצפנה חזקה
אבטחת שרשרת אספקה: ארגונים יהיו אחראים לניהול סיכוני אבטחת סייבר בשרשרת האספקה שלהם ולפקח על עמדת אבטחת הספקים.
אחריות מנהל: אנשי ההנהלה הבכירה יישאו באחריות לבשלות תפקידם האבטחה. עליהם לקבל הדרכה בנושא אבטחת סייבר ולבצע הערכות סיכונים שוטפות בהתאם.
דיווח על תקריות: יש לדווח לרגולטור על כל תקרית עם פוטנציאל השפעה חמורה תוך 24 שעות מרגע הגילוי. יש לשלוח דוח הודעה מלא לאחר 72 שעות, לפני דיווח סופי חודש לאחר האירוע הראשוני.
מה חדש בבריטניה?
בתגובתה לקריאה לדעות על הצעות לשיפור חוסן הסייבר בבריטניה, הממשלה הייתה די חד משמעית לגבי 2 ש"ח, ואמרה: "בהתחשב בכך שבריטניה כבר לא מחויבת לחקיקת האיחוד האירופי ולא תיישם 2 ש"ח, יהיו הבדלים בין האיחוד האירופי לבריטניה. החקיקה של בריטניה מיועדת לכלכלת בריטניה ולמקסם את היתרונות לבריטניה".
אז מה זה אומר בפועל? להלן תחומי ההתבדלות העיקריים:
ספקי שירות מנוהלים (MSP): בריטניה תרחיב את סוג ספקי השירותים הדיגיטליים בהיקף (המוגבל כרגע למנועי חיפוש, מקומות שיווק מקוונים וספקי ענן) ל-MSP. זה כולל ספקים שהם:
- B2B
- התמקד בשירותי IT
- הסתמכות על רשת ומערכות מידע
- מתן ניהול ותמיכה שוטפים, ניהול פעיל ו/או ניטור של מערכות IT, תשתית, רשת ו/או אבטחה
זאת בניגוד ל-2 שקלים, שמוסיפים כמה מגזרים חדשים לרשימה המכוסה ברגולציה, לרבות טלקום, מדיה חברתית ומנהל ציבורי. זה גם מחייב יותר לגבי גודל הארגון כדי להבטיח שרק מידות בינוניות וגדולות מכוסות.
הודעה על אירוע: בריטניה מציעה מגוון רחב יותר של תקריות שידווחו לרגולטור, כולל כאלה המהווים סיכון גבוה לשירות או משפיעות באופן משמעותי על שירות, גם אם הם לא משבשים אותו.
2 שקלים חדשים מכילים גם דרישות תובעניות יותר לדיווח על "אירועים משמעותיים" – כלומר כאלה שגרמו, או מסוגלים ליצור, הפרעה תפעולית משמעותית או הפסדים כספיים לגוף הנפגע או לאחרים. הוא גם מחייב דיווח ראשוני להתבצע תוך 24 שעות.
ארגונים פטורים: מרכזי נתונים שאינם מוסדרים כספקי ענן יהיו פטורים, וכך גם מפתחי תוכנה ועסקים קטנים/מיקרוים. עם זאת, הרגולטור, ה-ICO, יכול לייעד ספקי שירותים קטנים/מיקרו דיגיטליים ספציפיים להיות בהיקף אם הם נחשבים חיוניים לשירותים קריטיים בבריטניה או לביטחון הלאומי.
ספקי שירותים דיגיטליים: ה-ICO אמור לנקוט בגישה מבוססת סיכונים יותר להסדרת שירותים דיגיטליים בהתבסס על האופן שבו ספקים קריטיים לאספקת שירותים חיוניים.
2 שקלים נוקטים קו מוצק יותר, עם פוטנציאל קנס גבוה על אי ציות של ספקי OES.
ש"ח מגן לעתיד: ממשלת בריטניה שומרת לעצמה את הזכות לתקן את התקנות בעתיד לאחר התייעצות עם הציבור, פוטנציאלית על ידי הוספת מגזרים חדשים שנחשבים קריטיים לכלכלה.
מה אתה צריך לעשות
ארגונים בבריטניה צריכים תחילה להחליט מה חל עליהם: 2 ש"ח, תקנות ה-NIS המתוקנות של בריטניה או שניהם, לפי מריה נונקוביץ', עורכת דין ב- בורגס סלמון.
"למרות שיש קווי דמיון בין שני המשטרים, ההבדלים יגרמו לרמה מסוימת של סטייה, שתחייב את אותם ארגונים הפועלים באיחוד האירופי ובבריטניה להעריך בקפידה את חובות הציות שלהם לאבטחת סייבר", היא מסבירה.
"על עסקים להקדיש זמן להקצאת משאבים מתאימים בשלב מוקדם כדי להבטיח שאמצעי אבטחה מתאימים קיימים כדי להגן מפני איומי סייבר, כמו גם לשמור על עמידות לאור מתקפת סייבר כדי להימנע מהעלויות והנזק המוניטין שעלול להיגרם כתוצאה מכך אירועי אבטחת סייבר".
האתגר יהיה תזמון. 2 שקלים חדשים נכנסו לתוקף ב-16 בינואר 2023 וחייבים להיות מיושמים על ידי המדינות החברות עד ה-17 באוקטובר 2024. עם זאת, לא סביר להניח שמשטר חדש של תקנות שקלים יחולו לפני 2024, על פי מומחים משפטיים.
"הבדל בעיתוי היישום עשוי להגדיל את העלויות במידה מסוימת, שכן עסקים הפעילים הן בבריטניה והן באיחוד האירופי יצטרכו להקצות זמן ומשאבים לתרגילי ציות בשתי הזדמנויות ולא באחת", טוענת משרד עורכי דין טראברס סמית'. נותר לראות אם סטייה בבריטניה אכן תפחית למינימום את הנטל הרגולטורי על עסקים מקומיים, כפי שהממשלה מקווה.
אז מה קורה אחר כך?
כפי שמייעץ EY, חברות בהיקף של 2 ₪ חייבות לנהל את סיכוני אבטחת המידע שלהן. הטמעת מערכת ניהול אבטחת מידע (ISMS) היא הדרך הטובה ביותר לעשות זאת. זה יעזור לייעל את התהליך לעמידה בתקנים כמו ISO 27001 ו-ISO 22301, אשר בתורם יכולים לספק מסגרת טובה לעמידה ב-2 שקלים.
עבור אלה הממוקדים בלייזר בתקנות השקל, גישה דומה תניח גם את התשתית לעמידה בדרישות. למידע נוסף, המרכז הלאומי לאבטחת סייבר (NCSC), הפועל כצוות תגובה לאירועי אבטחת מחשבים (CSIRT) ונקודת מגע יחידה (SPOC) לאירועי ₪, פרסם גם מדריך שימושי. זה אוסף מסגרת הערכת סייבר (CAF). הוא עוד משאב מועיל.
הגדר את הארגון שלך להצלחה
אם אתם מחפשים להשיג עמידה ב-2 ש"ח ולהתחיל את המסע שלכם לשיפור מידע ואבטחת סייבר, אנחנו יכולים לעזור.
הורד את המדריך החיוני שלנו ל-2 ש"ח, קרא עוד והתחמש בתובנה הדרושה לך כדי להישאר בקדמת העקומה ולהבטיח שהארגון שלך ערוך להצלחה.
