Chỉ thị NIS2: Bảo mật Hệ thống Mạng và Thông tin

Chỉ thị NIS2 là gì?

NIS2 (Network and Information Security Directive 2) là khung pháp lý bắt buộc của EU, yêu cầu các tổ chức phải:

• Bảo vệ hệ thống CNTT & mạng
• Quản lý rủi ro an ninh mạng
• Báo cáo và ứng phó sự cố an ninh

Chỉ thị NIS2 là bản cập nhật của Chỉ thị An ninh Mạng và Thông tin (NIS) trước đó năm 2016 với phạm vi rộng hơn và yêu cầu nghiêm ngặt hơn. Mục tiêu của nó là tạo ra một mức độ an ninh mạng chung giữa các quốc gia thành viên Liên minh Châu Âu. Giống như Quy định chung về bảo vệ dữ liệu (GDPR), NIS2 nhằm mục đích hài hòa các biện pháp và phương pháp tiếp cận giữa các quốc gia thành viên EU để bảo vệ cơ sở hạ tầng kỹ thuật số — trong trường hợp này, là các thực tiễn tốt nhất trong việc đối phó với sự gia tăng mạnh mẽ của các cuộc tấn công mạng.

Bối cảnh tuân thủ NIS 2

Trong bối cảnh tội phạm mạng gia tăng nhanh chóng cả về quy mô lẫn mức độ tinh vi như hiện nay thì các yêu cầu về An ninh Mạng và Hệ thống Thông tin đã trở thành ưu tiên chiến lược đối với các tổ chức. Trong số đó chỉ thị NIS 2 được ưu tiên áp dụng nhất là các doanh nghiệp, tổ chức hoạt động tại thị trường Liên minh Châu Âu.

Các hình thức tấn công phổ biến như mã độc tống tiền, lừa đảo trực tuyến (phishing) và khai thác lỗ hổng bảo mật chưa được vá đang được triển khai ngày càng hiệu quả, gây gián đoạn nghiêm trọng đến hoạt động của doanh nghiệp và các cơ sở hạ tầng trọng yếu. Trước thực trạng đó, Liên minh Châu Âu đã ban hành Chỉ thị NIS2 – có hiệu lực từ ngày 16/01/2023 và được các quốc gia thành viên chuyển hóa thành luật quốc gia trước ngày 17/10/2024 – nhằm thiết lập một khung pháp lý thống nhất để nâng cao năng lực phòng vệ an ninh mạng.

Với chỉ thị NIS2 này có mở rộng phạm vi đáng kể phạm hơn so với Chỉ thị NIS 2016, bao phủ các “thực thể thiết yếu và quan trọng” trong nhiều lĩnh vực then chốt như năng lượng, tài chính – ngân hàng, vận tải, y tế, bán lẻ, hành chính công và các nhà cung cấp dịch vụ xuyên biên giới, đồng thời chú trọng kiểm soát rủi ro trong chuỗi cung ứng. Thông qua việc tăng cường yêu cầu quản lý rủi ro và khả năng chống chịu, NIS2 đóng vai trò then chốt trong việc bảo vệ dữ liệu, duy trì tính liên tục của hạ tầng quan trọng và giảm thiểu tác động của các sự cố an ninh mạng trên toàn EU.

Mục tiêu chính của NIS2

Chỉ thị NIS2 thiết lập một khuôn khổ pháp lý thống nhất để duy trì an ninh mạng trong 18 lĩnh vực trọng yếu trên toàn EU. Chỉ thị này cũng kêu gọi các quốc gia thành viên xác định chiến lược an ninh mạng quốc gia và hợp tác với EU để phản ứng và thực thi xuyên biên giới. Với mục đích chính bao gồm:

• Nâng cao mức độ an ninh mạng trên toàn EU
• Giảm rủi ro gián đoạn chuỗi cung ứng
• Tăng khả năng phát hiện, báo cáo & xử lý sự cố
• Chuẩn hóa trách nhiệm pháp lý và chế tài xử phạt

Chỉ thị NIS2 mới này hiện đã mở rộng rất mạnh so với NIS cũ 2016, áp dụng cho hơn 15 lĩnh vực, chia thành 2 nhóm như sau:

Thực thể thiết yếu (Essential Entities)

• Năng lượng, nước, giao thông
• Ngân hàng, hạ tầng tài chính
• Y tế, bệnh viện
• Hạ tầng số (DNS, cloud, data center)
• Hành chính công

Thực thể quan trọng (Important Entities)

• Dịch vụ số (SaaS, nền tảng CNTT)
• Sản xuất công nghệ, thiết bị mạng
• Bưu chính – logistics
• Nhà cung cấp dịch vụ CNTT & an ninh mạng

Note: Với những doanh nghiệp ngoài EU vẫn có thể bị áp dụng nếu như cung cấp dịch vụ cho thị trường EU hoặc có chi nhánh cũng như các đối tác hoạt động tại EU:

Các hình phạt đối với việc không tuân thủ NIS2 là gì?

Giống như yêu cầu tuân thủ GDPR, việc không tuân thủ NIS2 sẽ bị phạt nặng. Ví dụ, Điều 34 của Chỉ thị NIS2 quy định các hình phạt đối với hành vi không tuân thủ như sau:

• Các thực thể thiết yếu: ít nhất lên đến 10 triệu euro hoặc 2% doanh thu hàng năm toàn cầu.
• Các thực thể quan trọng: ít nhất lên đến 7 triệu euro hoặc 1,4% doanh thu hàng năm toàn cầu.

Các quy tắc thông báo vi phạm NIS2 là gì?

Theo điều 23 của Chỉ thị NIS2 quy định các quy tắc nghiêm ngặt về báo cáo vi phạm an ninh mạng. Quy định này nêu rõ rằng thông báo vi phạm phải được thực hiện “không chậm trễ quá mức”. Thông báo phải được đưa ra trong vòng 24 giờ kể từ khi phát hiện ra sự cố nghiêm trọng (“cảnh báo sớm”), và phải cung cấp đánh giá ban đầu trong vòng 72 giờ. Quy tắc này vẫn áp dụng ngay cả khi không có dấu hiệu cho thấy dữ liệu cá nhân bị lộ.

Việc tuân thủ Chỉ thị NIS2 về An ninh Mạng và Hệ thống Thông tin không chỉ giúp doanh nghiệp đáp ứng yêu cầu pháp lý của Liên minh Châu Âu mà còn mang lại nhiều giá trị chiến lược trong quản trị rủi ro và phát triển bền vững.

1. Giảm thiểu rủi ro an ninh mạng và gián đoạn hoạt động

NIS2 yêu cầu tổ chức triển khai các biện pháp quản lý rủi ro toàn diện, giúp nâng cao khả năng phòng ngừa, phát hiện và ứng phó kịp thời với các sự cố an ninh mạng, từ đó hạn chế tối đa nguy cơ gián đoạn hoạt động và tổn thất tài chính.

2. Đảm bảo tuân thủ pháp lý và tránh chế tài nghiêm khắc

Tuân thủ NIS2 giúp doanh nghiệp chủ động đáp ứng nghĩa vụ pháp lý, tránh các khoản phạt lớn liên quan đến vi phạm an ninh mạng và nghĩa vụ báo cáo sự cố, đồng thời giảm thiểu rủi ro trách nhiệm cá nhân đối với ban lãnh đạo.

3. Tăng cường uy tín và niềm tin của khách hàng, đối tác

Việc đáp ứng các yêu cầu của NIS2 thể hiện cam kết mạnh mẽ của tổ chức đối với bảo mật thông tin và an toàn hệ thống, qua đó củng cố niềm tin của khách hàng, đối tác và các bên liên quan, đặc biệt trong các mối quan hệ hợp tác xuyên biên giới với thị trường EU.

4. Nâng cao năng lực quản trị và trách nhiệm của lãnh đạo

NIS2 thúc đẩy sự tham gia trực tiếp của lãnh đạo cấp cao trong quản trị an ninh mạng, giúp tổ chức xây dựng văn hóa an toàn thông tin, cải thiện hiệu quả ra quyết định và tăng khả năng kiểm soát rủi ro ở cấp chiến lược.

5. Tăng khả năng cạnh tranh và mở rộng thị trường EU

Tuân thủ NIS2 giúp doanh nghiệp đáp ứng điều kiện bắt buộc khi tham gia chuỗi cung ứng hoặc cung cấp dịch vụ cho các tổ chức tại EU, từ đó tạo lợi thế cạnh tranh và mở rộng cơ hội tiếp cận thị trường quốc tế.

6. Tối ưu hóa hệ thống quản lý an ninh thông tin

Thông qua việc áp dụng các biện pháp theo NIS2, doanh nghiệp có thể chuẩn hóa quy trình, nâng cao hiệu quả vận hành hệ thống CNTT và dễ dàng tích hợp với các tiêu chuẩn quốc tế như tiêu chuẩn ISO/IEC 27001.

Dịch vụ tư vấn tuân thủ NIS 2 tại SQC Certification

SQC Certification Vietnam là thành viên của SQC Certification India và sự hiện diện toàn cầu, bao gồm Việt Nam. Tại SQC Certification Vietnam, chúng tôi tự hào về việc chứng nhận các tổ chức và thúc đẩy văn hóa cải tiến liên tục thông qua các chương trình Đánh giá và Đào tạo các Hệ thống quản lý tiên tiến. SQC cung cấp dịch vụ tư vấn Tuân thủ NIS 2 cho các tổ chức có nhu cầu.

Dịch vụ tuân thủ Chỉ thị NIS2 của SQC Certification về An ninh Mạng và Hệ thống Thông tin được thiết kế nhằm hỗ trợ doanh nghiệp đáp ứng đầy đủ các yêu cầu pháp lý của Liên minh Châu Âu, đồng thời nâng cao năng lực quản trị rủi ro và bảo mật hệ thống CNTT.