Шифрування даних є важливим інструментом для захисту вашої конфіденційної інформації. Не дивно, вимоги до шифрування інформації стають все більш жорсткими. Тож зустрічайте директиву NIS2. Що це таке? Давайте розбиратися.
Мережеві та інформаційні системи 2 (NIS2) – це директива Європейського Союзу , яка передбачає правові заходи для підвищення загального рівня кібербезпеки в ЄС. Зі збільшенням частоти та масштабів інцидентів безпеки NIS2 прагне зміцнити цифрову інфраструктуру ЄС і захистити громадян від зловмисних атак . Регламент є оновленням початкової директиви NIS, прийнятої ЄС у 2016 році.
NIS2 у двох словах:
Коли?
NIS2 було схвалено ЄС у листопаді 2022 року. Країни-члени мають почати виконувати вимоги цієї директиви до 17 жовтня 2024 року. Як бачите, директива пройшла немалий шлях. Ость ці етапи:
- 16 грудня 2020 р.: Європейська комісія подала пропозицію щодо перегляду Директиви NIS.
- 10 листопада 2022 р.: Європейський парламент ухвалив Директиву NIS 2.
- 14 грудня 2022 р.: Директива NIS 2 офіційно опублікована в Офіційному журналі Європейського Союзу.
- 17 жовтня 2024 р.: Кінцевий термін імплементації Директиви NIS 2 у національне законодавство держав-членів ЄС.
- 18 жовтня 2024 р.: набуває чинності Директива NIS 2.
- 10 листопада 2022 року було прийнято Директиву NIS 2.
- Директива NIS 2 замінює та скасовує Директиву NIS (Директива 2016/1148/EC).
- Як вже було сказано, держави-члени мають до 17 жовтня 2024 року імпропонувати Директиву NIS 2 у своє національне законодавство.
- Директива NIS 2 набуває чинності 18 жовтня 2024 року.
Що?
NIS2 має на меті встановити загальний рівень безпеки мережевих та інформаційних систем у межах ЄС, зробивши вимоги кібербезпеки обов’язковими для всіх держав-членів. Окрім визначення вимог щодо безпеки, директива вводить примусові заходи та санкції як для держав-членів ЄС, так і для організацій, що надають основні послуги державам-членам.
Кого стосується?
Усі суб’єкти, які надають основні послуги державам-членам ЄС у таких галузях, підлягають NIS2:
- Аерокосмічна промисловість
- Банківська справа та інфраструктура фінансового ринку
- Цифрова інфраструктура
- Постачальники цифрових послуг
- Енергетика
- Харчування
- Охорона здоров’я
- Виробництво критично важливих продуктів, наприклад фармацевтичних препаратів або медичне обладнання
- Поштові та кур’єрські послуги
- Державне управління
- Громадські електронні комунікаційні мережі або послуги
- Транспорт
- Утилізація стічних вод і поводження з відходами
- Водопостачання
Що NIS2 говорить про шифрування?
Стаття 21: Заходи з управління ризиками кібербезпеки
Параграф 1. «Держави-члени гарантують, що істотні та важливі суб’єкти вживають належних і пропорційних технічних, операційних та організаційних заходів для управління ризиками, пов’язаними з безпекою мережевих та інформаційних систем , які ці суб’єкти використовують для своїх операцій або для надання своїх послуг, а також для запобігання або мінімізації впливу інцидентів на одержувачів їхніх послуг та на інші послуги…»
Параграф 2. « Заходи, згадані в параграфі 1, повинні ґрунтуватися на підході до всіх небезпек, спрямованому на захист мережевих та інформаційних систем і фізичного середовища цих систем від інцидентів.
Якщо коротко, підприємства, які надають основні послуги державам-членам ЄС, повинні відповідати вимогам NIS2 щодо шифрування, використовуючи безпечні рішення для шифрування для захисту конфіденційності, цілісності та автентичності даних. Крім того, було б доцільно запровадити методи безпечного керування ключами та проводити регулярне тестування шифрування та навчання.
Вимоги до шифрування для відповідності NIS2
Далі в директиві NIS2 зазначено, що технологія наскрізного шифрування повинна використовуватися організаціями «для забезпечення безпеки публічних електронних комунікаційних мереж і загальнодоступних електронних комунікаційних послуг». Наскрізне шифрування потрібне для захисту даних, що передаються між 2 різними місцями, наприклад мережевим зв’язком. Ось кілька порад щодо захисту даних під час передавання:
- Застосуйте безпечні протоколи зв’язку, такі як HTTPS або VPN , щоб шифрувати дані під час передачі
- Використовуйте шифрування електронної пошти , щоб захистити конфіденційну інформацію в русі
- Розгляньте можливість використання безпечних методів передачі файлів для збереження конфіденційності даних, наприклад зашифрованих вкладень електронної пошти та шифрування відкритим ключем
- Закрити доступ до закритої папки комп’ютера де дані зберігаються
Просто пам’ятайте, що наскрізного шифрування недостатньо для повного захисту даних, які не були захищені в джерелі. Шифрування кінцевої точки забезпечує останню лінію захисту вашої інформації, яка зберігається на фізичних або електронних пристроях зберігання, хоча воно також вимагається GDPR . Для ефективного захисту даних у стані спокою :
- Шифруйте всі диски
- Зберігайте окремі файли та папки в зашифрованих контейнерах , щоб запобігти доступу третіх осіб до даних
- Використовуйте засоби контролю доступу та механізми автентифікації (наприклад, багатофакторну автентифікацію), щоб обмежити несанкціонований доступ
- Зберігайте резервні копії в безпечних місцях, щоб запобігти втраті даних
Дані, що постійно використовуються, традиційно не захищені програмним забезпеченням для шифрування, тому захист такого типу інформації може виявитися складним завданням. Одним із рішень є впровадження методів захисту конфіденційних даних під час обробки .
Як підготуватися до NIS2? Найпростіше рішення — використовуйте BestCrypt для відповідності NIS2
Найкращий спосіб виконати вимоги статті директиви NIS2 — використовувати надійні рішення для шифрування даних, щоб захистити конфіденційність ваших даних. Завдяки BestCrypt від Jetico у вас є доступ до 3 різних рішень, які допоможуть вам захистити дані в усіх 3 станах.
- BestCrypt Container Encryption для захисту даних під час передачі шляхом безпечної передачі файлів і даних у стані спокою шляхом шифрування вибраних файлів і папок
- Шифрування томів BestCrypt для шифрування жорстких дисків для захисту даних у стані спокою
- BestCrypt Data Shelter , безкоштовний інструмент для захисту даних, що використовуються
Щоб розпочати роботу з рішеннями Jetico для шифрування даних, можна безкоштовно завантажити тестові версії рішень з сайту, а також проконсультуватись з дистриб’ютором та постачальником цих рішень – компанією Ідеалсофт.
