הצעת חוק אבטחת הסייבר והחוסן (CSRB) ממשיכה לעשות את דרכה בפרלמנט. אך סופו של תהליך חקיקה ארוך מתקרב אט אט. כאשר היא תהפוך סוף סוף לחוק, הצעת החוק תספק רענון מזמן של תקנות ה-NIS משנת 2018. אך מה לגבי ארגונים בבריטניה שכבר פועלים לפי שינוי הכללים של האיחוד האירופי, המכונה NIS2?
בעוד שיש כמה ניסיונות ליישר קו בין השניים, יש גם נקודות רבות בהן הם שונים. החל ממספר המגזרים הנחשבים בהיקפם ועד לגודל הקנסות הפוטנציאליים, צוותי ציות חייבים להתחיל עכשיו להבין את ההשפעה של שינויים אלה. ולתכנן עבודה נוספת שעשויה להיות רבה.
במה שונה CSRB מ-NIS2
כדי להבין עד כמה CSRB סוטה מ-NIS2, עיינו ב- סיכום הצעת החוק באתר האינטרנט הממשלתי. הוא אינו מזכיר כלל את מקבילו האירופי. וגם המילה "יישור" אינה מופיעה. מבחינה מעשית, ישנם מספר תחומים שצוותי ציות צריכים לבחון:
גופים מפוקחים: היקף
בריטניה מתמקדת במפעילי שירותים חיוניים (OES), ספקי שירותים דיגיטליים רלוונטיים (RDSP) - שהם ספקי ענן, חיפוש וזירות מסחר - ובקטגוריה חדשה של ספקי שירותים מנוהלים רלוונטיים (RMSP). גישתה היא לייעד OES ספציפיים, בעוד ש-NIS2 גורר אוטומטית את כל הישויות הבינוניות והגדולות ב-18 מגזרים. התוצאה היא שחלק מהארגונים הנכללים במסגרת CSRB ייחלשו מרגולציה של NIS2 ולהיפך.
גופים מפוקחים: קטגוריות חדשות
ה-CSRB מציגה רק קטגוריה חדשה אחת של OES של "שירותי מרכז נתונים", בעוד ש-NIS2 כוללת כמה: מינהל ציבורי, חלל, שפכים, מזון, ייצור, שירותי דואר, ניהול פסולת וספקים דיגיטליים. זה מגדיל את הסבירות שארגונים בריטיים שאינם מוסדרים על ידי CSRB ייפלו תחת NIS2.
מנהלי רשתות חברתיות:
RMSPs הוצגו כקטגוריה חדשה ב-CSRB, והם נחשבים כישויות חיוניות או ישויות חשובות על ידי NIS2. אך ייתכנו דרישות תאימות שונות עבור כל משטר.
פיקוח על שרשרת האספקה:
בבריטניה, "ספקים קריטיים" ל-OESs, RDSPs ו-RMSPs יכולים להיות מוגדרים על ידי רשויות מוסמכות ומשרד נציב המידע (ICO) והם כפופים לפיקוח ישיר. ב-NIS2 אין פיקוח רגולטורי ישיר, אך כל הגופים הנמצאים תחת תחום הפיקוח חייבים להעריך את הסיכונים בשרשרת האספקה.
הגדרות ודיווח על אירועים:
הגדרת ה-CSRB לאירוע מוסדר הורחבה וכוללת אירועים "המסוגלים להשפיע באופן משמעותי על אספקת שירות חיוני או דיגיטלי" וכן "אירועים המשפיעים באופן משמעותי על הסודיות, הזמינות והשלמות של מערכת". המשמעות תוערך לפי ענף. ב-NIS2, אירועים הם אלו הגורמים לשיבוש תפעולי, הפסד כספי או נזק מהותי/לא מהותי לאחרים. משמעות הדבר היא שסף הדיווח עשוי להיות שונה בבריטניה/האיחוד האירופי.
עם זאת, לוחות הזמנים לדיווח - דיווח ראשוני תוך 24 שעות מרגע היותו מודע לאירוע, ולאחר מכן הודעה מלאה תוך 72 שעות - זהים באופן כללי בבריטניה/האיחוד האירופי.
הודעה ללקוח:
זה נדרש מספקי שירותי מרכזי נתונים, ספקי RDSP ו-RMSP בבריטניה. אך ייתכנו דרישות נוספות במסגרת NIS2, בהתאם לפרשנות של המדינה החברות להנחיה.
אחריות אישית:
זה לא מכוסה ב-CSRB, אבל NIS2 מציג אחריות אישית משמעותית להנהלה הבכירה. זה כולל הכשרה חובה למנהלים ואחריות אישית על אי עמידה בדרישות. ארגונים בבריטניה העומדים ב-NIS2 יצטרכו להבין את דרישות הממשל המפורטות יותר במשטר האיחוד האירופי.
פנדלים:
ב-CSRB, קנסות סטנדרטיים הם הגבוהים מבין 10 מיליון ליש"ט או 2% מהמחזור השנתי העולמי, אך עולים ל-17 מיליון ליש"ט/4% עבור קנסות מקסימליים. NIS2 נותן למדינות החברות חופש פעולה להחליט על קנסות אלה, כל עוד הם "יעילים, מידתיים ומרתיעים".
הַרשָׁמָה:
על פי חוק CSRB, ספקי RMSP וספקי מרכזי נתונים המוגדרים כ-OES חייבים להירשם. ב-NIS2, ישויות חיוניות וחשובות חייבות להירשם אצל הרשויות המוסמכות, אך המדינות החברות מחליטות כיצד זה יעבוד. השורה התחתונה היא שארגונים בבריטניה יצטרכו להעריך את חובותיהם עבור שניהם בנפרד.
גישה כללית:
ה-CSRB מציג סמכויות חדשות ומשמעותיות לאיסוף מידע עבור רשויות מוסמכות ו-ICO, ללא קשר לסוג הארגון המפוקח. NIS2 מאפשר לישויות חשובות ליהנות מגישה קלה יותר.
עם זאת, בסך הכל, ה-CSRB נועד להיות גמיש יותר מהמקבילה האירופית שלו, אומר ג'יימס וונג, שותף בכיר בצוות טכנולוגיה ודיגיטל במשרד עורכי הדין העולמי קליפורד צ'אנס.
"הממשלה תוכל להוציא סדרי עדיפויות אסטרטגיים וכיוונים ממוקדים, ורגולטורים יוכלו להגדיר גופים כ'ספקים קריטיים', מה שמכניס אותם ישירות לתחום המשטר", הוא אומר ל-IO (לשעבר ISMS.online). "הצעת החוק מספקת גם מנגנון לקודי נוהג, המאפשרים ניואנסים המותאמים להקשר."
נטל הציות גדל
וונג טוען כי מורכבותם של "חוקי יישום מקומיים", חקיקה משנית והצורך הפוטנציאלי לעבוד עם רגולטורים מרובים הופכים את הציות למאתגר יותר עבור ארגונים הנכללים הן במסגרת NIS2 והן ב-CSRB.
ריאנון וובסטר, ראש מחלקת אבטחת הסייבר בבריטניה במשרד עורכי הדין העולמי אשורסט, מוסיפה כי לברקזיט מתחיל להיות השפעה ממשית על נטל הציות של חברות בריטיות הפועלות באירופה, עם הצעת חוק זו וחוק השימוש והגישה לנתונים.
"לקח זמן עד שזה קרה, מכיוון שחוקי הפרטיות והסייבר בבריטניה עד היום הם העתקה והדבקה של קודמיהם באיחוד האירופי. עם זאת, ישנם כמה שינויים קטנים אך משמעותיים שמתפתחים", היא אומרת ל-IO.
"למרות שחברות יכולות לשאוף לעמוד בשני המשטרים באופן אחיד על ידי יישום הסטנדרט הגבוה ביותר ברחבי בריטניה ואירופה, לא סביר שזו תהיה גישה מסחרית לתאימות וחברות יצטרכו לשקול את ההבדלים בין המשטרים בעת אימוץ תוכניות תאימות והערכת סיכונים."
תחילת העבודה
וובסטר קורא לארגונים להבין תחילה האם הם נכללים בתוכנית NIS2 ובתוכנית המקבילה בבריטניה.
"אולי תופתעו לשמוע שבמקרה של אירועי אבטחה ועמידה בלוחות הזמנים לדיווח, לעתים קרובות יש לנו לקוחות שלא בטוחים אם נתפסו על ידי NIS2 ומנסים להבין את המצב במקרה של פרצה, וזה רחוק מלהיות אידיאלי", היא מסבירה.
"ניתן להשתמש בעמידה בתקנים כמו ISO 27001 כדי להבטיח שדרישות אבטחת המידע שלכם יהיו פרופורציונליות."
וונג מקליפורד צ'אנס מסביר כי "תוכנית מאוחדת למוכנות סייבר המותאמת לכל הדרישות החוקיות והרגולטוריות הרלוונטיות" צריכה להיות המטרה העיקרית של צוותי תאימות.
"שימוש במסגרות מבוססות כמו ISO 27001 יכול לייעל את הציות ולהקל על הדגמת שיטות עבודה מרכזיות במספר תחומי שיפוט. מסגרות כאלה מספקות מבנה לבנייה ממנו, אך הן רק בסיס ויש להתאימן לחובות המקומיות", הוא מוסיף. "סקירות סדירות מבטיחות שהתוכנית תישאר מתאימה למטרה ככל שהדרישות משתנות עם הזמן."
עבור פעולות עסקיות מורכבות המשתרעות על פני מספר תחומי שיפוט, שיטות עבודה מומלצות הופכות לחשובות אף יותר, אומר וונג. הוא מצביע על "מנהיגות פרואקטיבית", מתן עדיפות לסיכונים ובקרות, תרגילי עבודה סדירים, קשרים חזקים בשרשרת האספקה והטמעת הכלים הנכונים.
לא משנה איך מסתכלים על זה, מחיר הפעילות ברחבי בריטניה והאיחוד האירופי צפוי לעלות.
הרחב את הידע שלך
סמינר מקוון: שליטה בתקן NIS 2 (תקן ISO 27001)
