Zephyrnet Logosu

Üretken Veri Zekası

Tedarik zinciri lojistiği

NIS2 Direktifindeki yeniliklere bir bakış

Plato tarafından yeniden yayınlandı
Plato tarafından yeniden yayınlandı

Tarih:

Görüntüleme: 122

Bernard Montel, Siber Güvenlik Stratejisti ve Tenable Teknik Direktörü.

Çoğunlukla NIS olarak kısaltılan Ağ ve Bilgi Sistemlerinin güvenliğine ilişkin Direktif ilk olarak Temmuz 2016'da oluşturuldu. İlk kez yürürlüğe girdiğinde iki grubu kapsıyordu: temel hizmetlerin operatörleri; ve ilgili dijital hizmet sağlayıcılar, siber güvenlik direncini güçlendirmek amacıyla. Bir dereceye kadar etkili olsa da, NIS'in özellikle kapsadığı kuruluşların dar kapsamı nedeniyle sınırlamalara sahip olduğu görüldü. Bu sorun, Avrupa Birliği'nin Direktifin yeni bir versiyonunu kabul ettiği Ocak 2023'te ele alındı.

NIS2, kapsanan varlıkların kapsamını temel ve önemli olmak üzere iki kategoriye ayırarak genişletir. Yeni 'önemli' kategoriye imalat; kimyasalların üretimi ve dağıtımı; ve gıda üretimi, işlenmesi ve dağıtımı. Çalışan sayısı 250'nin üzerinde veya geliri 50 milyon Euro'nun üzerinde olan herhangi bir büyük kuruluş; Çalışan sayısı 50'nin üzerinde veya NIS10'da tanımlanan sektörlerden geliri 2.0 milyon Euro'nun üzerinde olan orta ölçekli kuruluşlar doğrudan kapsama dahil edilecektir. Bu, küçük veya mikro kuruluşların hariç tutulduğu anlamına gelmez. Her üye devlet, kapsamı toplum, ekonomi veya belirli sektörler veya hizmet türleri için kilit bir rol belirten belirli kriterleri yerine getirdiği kabul edilen herhangi bir kuruluşu (belirlenen sektörlerdeki) kapsayacak şekilde genişletebilir.

Tüm AB üyesi devletlerin ve AB'de ticaret yapan üye olmayanların, 2 Ekim 17 tarihine kadar NIS2024'yi ulusal mevzuatlarına aktarmaları gerekecek. Artık AB düzenlemelerine bağlı olmasa da Birleşik Krallık hükümeti, NIS düzenlemelerini de güçlendireceğini doğruladı.

S. Bu, üreticiler için ne anlama geliyor?

NIS önemli siber olayların raporlanmasını zorunlu kılsa da güncellenen Direktif, olayların raporlanması için bir zaman çizelgesi içermektedir. Önemli etkiye sahip herhangi bir olayın tespit edilmesinden sonraki 24 saat içinde yetkili makama veya CSIRT'ye bir erken uyarı iletilmelidir. Bunu 72 saat sonra olayın değerlendirmesini, ciddiyetini, etkisini ve tehlike göstergelerini içeren tam bir bildirim raporuyla takip etmelisiniz. Nihai raporun bir ay içerisinde iletilmesi gerekmektedir. Olayların tespit edilmesi elbette önemli olmakla birlikte, kuruluşların sorumluluğu öncelikle karşılaşılan riskleri azaltmak ve olayları önlemek olmalıdır.

NIS, siber güvenliğin bir dizi kuralcı kurala göre faaliyet göstermek yerine, bir kuruluşun 'olağan işinin' bir parçası haline gelmesine izin veren, ilkeye dayalı bir yaklaşımla çalışır. Kuruluşlar işlerini dışarıdan birine göre daha iyi anlıyor; bu nedenle ilkeye dayalı yaklaşım, kuruluşların siber güvenlik sorunlarıyla en iyi nasıl başa çıkabilecekleri konusunda bilinçli kararlar almasına olanak tanıyor. 

İmalat söz konusu olduğunda, fabrika katlarında genellikle üretim sürecinin her adımını desteklemek için çeşitli OEM'lerden (Siemens) çok çeşitli makineler (konveyör bantları, lazer kesim makineleri, karıştırıcılar, kazanlar, ısıtıcılar, soğutucular vb.) çalıştırılır. , Honeywell, Rockwell, Schneider, Emerson, Mitsubishi, Yokogawa, vb.), hepsi modernizasyonun çeşitli aşamalarında. Modern üretim ortamının %25 ila %50'sini oluşturabilen BT cihazları da bununla iç içedir. BT ve Operasyonel Teknoloji (OT) geleneksel olarak ayrı dünyalar olsa da, bağlantıdaki ilerlemeler bu sınırı sadece bulanıklaştırmakla kalmayıp ortadan kaldırmış, bırakın tüm OT ve BT cihazlarını, tüm OT cihazlarını tek başına takip etmeyi bile zorlaştırmıştır.

Gerçek siber güvenlik, tüm altyapıda var olan risklerin tam ve bütünsel olarak anlaşılmasını gerektirir. Endüstriyel siber güvenlikte önleyici bir yaklaşım, mevcut yeni trendler ve zorluklarla ilişkili temel risklerin çoğunu ortadan kaldırmak için çok önemlidir. Tehdit aktörleri bir şirketin saldırı yüzeyini değerlendirirken güvenlik açıklarının, yanlış yapılandırmaların ve kimlik ayrıcalıklarının doğru kombinasyonunu araştırıyorlar. OT risklerini azaltmak için, petrol ve gaz endüstrisini toplu olarak tanımlayan ve iyileştirici önlemleri ele alan veya alan sayısız arama, çıkarma, arıtma ve teslimat süreçlerini kontrol eden tüm operasyonel varlıklara ilişkin tam görünürlük elde etmek önemlidir.

Bu, hem BT hem de OT ortamlarına, kritik işlevsellik için mevcut olan karşılıklı bağımlılıklara ilişkin bütünsel bir bakış açısına sahip olmayı ve zayıflıkların ve güvenlik açıklarının nerede bulunduğunun belirlenmesini gerektirir. 

Bütünsel bir bakış açısı oluşturulduktan sonraki adım, teorik ve pratik hasara neyin yol açacağını belirlemektir. Bu duruştan hareketle, mümkün olan yerlerde riskleri iyileştirmeye yönelik adımlar atılabilir veya saldırılara yönelik sapma riskine ilişkin varlıklar izlenebilir.

S. NIS2 ile uyumluluk daha güçlü güvenlik anlamına mı gelecek?

NIS2'ye uyum zorunludur ve uyulmaması büyük para cezalarına yol açabilir. Ancak kuruluşlar, ilgili kutucukları işaretleyerek güvende olduklarına dair sahte bir güvenlik algısına kapılmamalıdır. Gerçek şu ki, NIS2 ilkelerine bağlılık savunmayı güçlendirecektir ancak bu her zaman güvence altına alınacağı anlamına gelmez.

Üretim kuruluşları, siber risklerini en aza indirmek için fiili standardı değil, NIS2'yi bir kılavuz olarak kullanmalıdır. Altyapılarını ve içerdiği hassas verileri ve kritik sistemleri koruyan güvenli çalışma uygulamalarını hayata geçirme sorumluluğu her kuruluşa ait olmalıdır.

Siber olayların önlenmesi, tüm varlıklara ve risklere ilişkin tam görünürlük, potansiyel güvenlik tehditlerine ilişkin kapsamlı bağlam ve siber riski objektif olarak ölçmek için net ölçümler gerektirir. Siber saldırıları öngörebilen kuruluşlar, günümüzün ortaya çıkan tehditlerine karşı savunma konusunda en iyi konumda olan kuruluşlar olacaktır.

spot_img

En Son İstihbarat

spot_img

Telif Hakkı @ 2024 Plato Technologies Inc.