Hướng dẫn tuân thủ chỉ thị NIS 2 theo các bước

Doanh nghiệp bạn đang gặp khó khăn trong công việc Xuthủ chỉ thị NIS 2? Bài viết này, SQC Certification xin chia sẻ cho bạn về những cách hướng dẫn thủ thị NIS 2 một cách chính xác và chi tiết nhất bao gồm: Ai cần phòng thủ, các giải pháp an ninh mạng quan trọng, nghĩa là báo cáo cáo cao và cách tránh bị phạt.

---

Tổng quan về chỉ thị NIS 2

Có thể thấy NIS 2 ra đời được xem là một bước quan trọng trong công việc nâng cao năng lực an ninh mạng và khả năng chịu đựng trước những rủi ro không gian mạng trên toàn Châu Âu. Trong bối cảnh cuộc tấn công mạng ngày càng gia tăng về quy mô và tốc độ vi phạm, các tổ chức thuộc phạm vi điều chỉnh chủ động hỗ trợ NIS 2 hướng bảo vệ tầng quan trọng trở thành yêu cầu cấp thiết bị.

Vì sao phút thủ NIS 2 là yếu tố rồi chốt?

Nghĩa phục vụ Chỉ thị NIS 2 ứng dụng cho hàng dệt tổ chức tại Châu Âu, hoạt động trong 18 lĩnh vực được xác định là thiết kế yếu hoặc đặc biệt quan trọng. Trong bối cảnh xung đột và chiến tranh mạng làm tăng đáng kể các cơ sở an ninh mạng, NIS 2 đặt ra yêu cầu nghiêm ngặt hơn về việc củng cố hệ thống mạng, bảo vệ hệ thống thông tin và nâng cao năng lực quản trị rủi ro rủi ro. Việc không tập thủ không chỉ giải quyết các vấn đề nghiêm trọng về tài chính mà còn có thể gây gián đoạn dịch vụ thiết yếu và làm suy giảm uy tín của tổ chức. Đặc biệt trong lĩnh vực tài chính, mạng lưới các vấn đề và tình trạng hoạt động liên tục có thể làm hao mòn niềm tin của khách hàng. Theo báo cáo Ổn định Tài chính Toàn cầu của Quỹ Tiền tệ Quốc tế (IMF) công bố tháng 4/2024, những rủi ro này có thể dẫn đến tăng cường giảm khoảng 5% tiền gửi chỉ trong vài tháng, từ đó làm tăng nguy cơ mất cân đối và căng thẳng tài khoản.

---

Yêu cầu thứ yếu cho NIS 2

Chỉ thị NIS 2 không còn giới hạn trong phạm vi các tầng hạ thiết yếu như trước đây mà đã mở rộng đáng kể đối tượng điều chỉnh, bao phủ nhiều ngành nghề và loại hình tổ chức hơn. Nếu doanh nghiệp của bạn đang cung cấp các dịch vụ quan trọng – سواء là kỹ thuật số hay vật lý – tại thị trường EU, hoặc giữ vai trò trò chơi sau đó trong chuỗi ứng dụng, thì khả năng cao bạn đã thuộc phạm vi ứng dụng của NIS 2.

Theo quy định, các tổ chức chịu điều chỉnh của NIS 2 được phân chia thành hai nhóm chính:

Nhóm thực thể thiết yếu

Đây là các tổ chức, doanh nghiệp hiện có vai trò quan trọng trong cuộc sống nhưng cũng là nền tảng kinh tế cũng như một xã hội xã hội. Chính vì thế mà cần phải đáp ứng đáp ứng tốt các yêu cầu và chịu độ giám sát cao hơn bao gồm:

• Năng lượng : điện, khí đốt, dầu mỏ, hệ thống – làm mát, hydro và hạ tầng sạc xe điện

• Vận tải và hậu cần : hàng không, đường sắt, đường bộ, đường biển, doanh nghiệp vận tải và đơn vị khai thác hùng vĩ

• Tài chính – ngân hàng : ngân hàng, thị trường tài chính, bảo hiểm và hạ tầng giao dịch

• Y tế : bệnh viện, trung tâm nghiên cứu y khoa, doanh nghiệp dược và nhà sản xuất thiết bị y tế

• Cấp thoát nước : quản lý nước và sạch nước thải

• Hạ tầng : nhà cung cấp DNS, đơn vị quản lý tên miền cấp cao nhất

• Hành chính công : cơ quan nhà nước và các tổ chức công nghiệp

• Công ty vũ trụ : đơn vị vận hành hạ tầng mặt đất

 

Nhóm thực thi quan trọng

Tuy không được xếp vào nhóm thiết bị yếu, các lĩnh vực này vẫn bắt buộc phải bổ sung NIS 2, với khả năng giám sát linh hoạt hơn, bao gồm:

• Sản xuất và biến đổi chế độ
• Bưu chính và chuyển bưu phẩm
• Công ty
• máy móc
• số liệu giá trị phòng
• Viện nghiên cứu
• Quản lý và xử lý chất thải

Nếu doanh nghiệp của bạn thuộc về các nhóm trên hoặc đang cung cấp dịch vụ quan trọng cho các tổ chức thiết yếu, bạn có trách nhiệm phát triển các giải pháp quản lý rủi ro đối với mạng lưới mạng, thiết lập cơ chế báo cáo sự cố và đảm bảo đầy đủ các yêu cầu của NIS 2.

---

Chỉ dẫn bổ sung bước NIS 2

• Bước 1: Xác định tư cách pháp lý theo NIS 2 (Thực thể thiết yếu hay quan trọng)

Theo Chỉ thị NIS 2 , các công chức, doanh nghiệp cần tiến hành ứng dụng chậm nhất đến ngày 17/01/2025, các tổ chức, doanh nghiệp thuộc phạm vi điều chỉnh phải chủ tự xác định và khai báo mình là Thực thể thiết yếu (Thực thể thiết yếu – EE) hoặc Thực thể quan trọng (Thực thể quan trọng – IE) với cơ quan có thẩm quyền tại quốc gia gia sở hữu tại.

Hai nhóm này có thể thực hiện việc mở rộng từ khái niệm OES trước đây, với việc phân tích dựa trên mức độ quan trọng của dịch vụ, quy mô tổ chức và doanh thu. Đáng lưu ý, các thiết bị thực sự yếu ớt sẽ phải đối mặt với chế độ giải quyết hậu quả nghiêm trọng hơn nếu không có xiền thủ quy định.

Việc xác định các thực thể có thể điều chỉnh NIS 2 sẽ được cụ thể hóa thông qua luật pháp quốc gia của các thành viên EU. Do đó, mỗi quốc gia đều có trách nhiệm xây dựng danh sách EE và IE trong phạm vi lãnh thổ của mình. Tại Pháp, ANSSI dự kiến ​​sẽ công bố hướng dẫn chi tiết trong thời gian tới.

Dựa trên hướng dẫn của Trung tâm An ninh mạng Bỉ (CCB), các loại công việc có thể dựa trên các tiêu chí sau:

• Doanh nghiệp quy mô lớn, cung cấp tối thiểu một dịch vụ phụ lục I → Thực thể thiết yếu
• Doanh nghiệp quy mô vừa, cung cấp dịch vụ phụ lục I → Thực thể quan trọng (trừ một số ngoại lệ)
• Doanh nghiệp quy mô vừa hoặc lớn, cung cấp dịch vụ phụ lục II → Thực thể quan trọng

Tại Hungary, các tổ chức thiết yếu phải hoàn thành tự khai báo trước ngày 30/06/2024. Quốc gia này áp dụng cách tiếp cận đơn giản hơn, không phân biệt EE và IE, yêu cầu các doanh nghiệp (trên 50 nhân sự hoặc doanh thu vượt quá 3,9 tỷ HUF) phân loại hệ thống CNTT theo khả năng bảo mật: cơ sở – đáng kể – cao, làm cơ sở phát triển giải pháp an ninh phù hợp.

---

• Bước 2: Đánh giá rủi ro và hiện tại hệ thống

Khởi động hệ thống này bạn cần phải phân tích một ổ ninh. Từ việc đánh giá các điểm yếu trong hệ thống mạng và CNTT. Tổ chức cần xác định các nguy cơ có thể khai thác thác thác, đặc biệt là nguy cơ phát sinh từ chuỗi ứng dụng CNTT.

Cuộc tấn công chuỗi cung ứng ngày càng phổ biến do tin tặc bình thường vào mắt xích yếu nhất. Vụ tấn công SolarWinds năm 2020 là minh chứng điển hình, khi phần mềm độc hại được cài đặt vào bản cập nhật hợp pháp, ảnh hưởng tới khoảng 18.000 tổ chức, bao gồm cả cơ quan chính phủ.

Điều này cho thấy tầm quan trọng của việc áp dụng nguyên tắc “ Bảo mật theo thiết kế ” , giúp phát hiện và giảm thiểu rủi ro ngay từ giai đoạn thiết kế sản phẩm và dịch vụ.

Lập bản đồ tài sản và hạ tầng trọng yếu

Song với ổ phân tích, tổ chức cần xây dựng bản đồ tài sản CNTT và tầng quan trọng, từ đó xác định các thành phần thì cần được ưu tiên bảo vệ. Đối với các lĩnh vực như Viễn thông hay tài chính, công việc xác định trung tâm dữ liệu, mạng cốt lõi và hệ thống thanh toán là yếu tố sống còn sót lại.

Theo ECB, tính liên kết cao và phụ thuộc vào một số nhà cung cấp CNTT trọng yếu lĩnh vực tài chính đặc biệt dễ bị lan truyền rủi ro mạng.

---

• Bước 3: Triển khai an ninh kỹ thuật và tổ chức

Tại bước này, tổ chức của bạn cần tiến hahf phát triển các biện pháp về an ninh kỹ thuật cũng như tổ chức với 2 bước cơ bản như sau:

Củng cố thông tin chính

Chi thị NIS 2 yêu cầu doanh nghiệp xây dựng và duy trì chính sách an ninh mạng chặt chẽ , bao gồm kiểm soát truy cập, quản lý sự cố và phân quyền theo nguyên tắc đặc quyền tối thiểu.

Áp dụng xác thực đa yếu tố (MFA)

Hiện nay, với tổ chức phát triển khai báo MFA có thể giúp tổ chức của bạn tăng cường khả năng bảo vệ hệ thống, đảm bảo chỉ người dùng được cấp quyền mới có thể truy cập vào hệ thống các tài nguyên thông tin và cảm giác nhạy cảm để giảm thiểu mức tối thiểu tối đa các trái phép cơ hội nguy hiểm.

---

• Bước 4: Cố gắng sẵn sàng cung cấp dịch vụ báo cáo

Ở bước tiếp theo, chúng tôi cũng sẵn sàng thực hiện dịch vụ này để tiến hành báo cáo sự cố. Theo đó, NIS 2 định nghĩa cụ thể về báo cáo cố định của mạng trong thời gian rất ngắn. Thời gian một công cụ phụ thuộc luật pháp quốc gia như sau:

• Pháp: thông báo trong vòng 24 giờ
• Bỉ: 3 giai đoạn (24 giờ – 72 giờ – báo cáo cuối cùng trong 1 tháng)
• Croatia: hiện chưa áp dụng đèn 24/72 giờ

Việc làm thủ công thời hạn là yếu tố sau đó để đảm bảo phân phối hợp lý và hạn chế hoạt động lan rộng.

Đào tạo quy trình cảnh báo

Nhân sự cần được đào tạo để nhận diện, xử lý và báo cáo sự cố phù hợp. Diễn tập khủng hoảng này giúp nâng cao khả năng phản ứng và duy trì hoạt động kinh doanh liên tục.

---

• Bước 5: Nâng cao nhận thức và đào tạo toàn tổ chức

Công việc này cần tiến hành xây dựng bản văn hóa an ninh mạng là nền tảng lâu dài để giảm thiểu rủi ro do yếu tố con người. Theo điều 20 của NIS 2 yêu cầu tổ chức phát triển khai chương trình đào tạo định kỳ, bao gồm:

• Quản lý mật khẩu và quyền truy cập
• Nhận được giao dịch lừa đảo
• phó sự

Bước này ban lãnh đạo của chỉ thị NIS 2 cũng phải tham gia các chương trình đào tạo chuyên sâu nhắm giám sát hiệu quả chiến lược an ninh mạng.

---

• Bước 6: Trách nhiệm của Ban lãnh đạo cấp cao

Lãnh đạo doanh nghiệp cam trách nhiệm trực tiếp trong công việc phê duyệt các chính sách về an ninh, phân phát nguồn lực và giám sát việc làm thủ công công NIS 2. 

Trong trường hợp vi phạm, khả năng trừng phạt có thể tăng lên:

• 10 triệu euro hoặc 2% doanh thu đối với thực thể thiết yếu
• 7 triệu euro hoặc 1,4% doanh thu thực tế quan trọng

Ngoài ra, còn có các biện pháp hành động chính như đình chỉ hoạt động.

---

• Bước 7: Phối hợp các chức năng cơ bản và chuyên ngành

Hợp tác với cơ quan an ninh mạng quốc gia

Các tổ chức cần phải làm việc chặt chẽ với cơ sở được xác định chỉ định cụ thể (ví dụ ANSSI tại Pháp) để cập nhật hướng dẫn và nhận hỗ trợ trong quá trình kết hợp.

Tham gia đánh giá đồng cấp

NIS 2 thúc đẩy cơ chế ngang hàng trong EU ngọc hài hòa cấp độ an ninh mạng. ENISA sẽ định nghĩa báo cáo về mạng trạng thái và xây dựng cơ sở dữ liệu chung cho toàn Liên minh.

---

• Bước 8: Kiểm tra liên tục và giám sát

Để đảm bảo thủ thuật lâu dài, doanh nghiệp cần thực hiện kiểm toán nội bộ và kiểm toán độc lập theo kỳ kỳ. Hoạt động này giúp khách hàng đánh giá hiệu quả của biện pháp an ninh và đáp ứng thời điểm khắc phục điểm yếu. Cơ quan quản lý quốc gia cũng có quyền tiến hành thanh tra hoặc yêu cầu cung cấp tài liệu khi cần thiết.

---

Dịch vụ tư vấn NIS 2  tại SQC Certification

---