Giới thiệu: Một mô hình an ninh mạng mới

‍

Chỉ thị NIS2, có hiệu lực từ ngày 17 tháng 1 năm 2023 (ngày 16 tháng 10 tại Ý), là một thay đổi sâu sắc so với Chỉ thị NIS trước đó. Khung pháp lý này nhằm mục đích tạo ra một chiến lược an ninh mạng chung cho tất cả các quốc gia thành viên Liên minh Châu Âu, với mục tiêu chính là nâng cao mức độ bảo mật của các dịch vụ kỹ thuật số trên toàn EU.

‍

Mùa triển khai chỉ thị NIS2 của Châu Âu đã chính thức bắt đầu, đánh dấu sự thay đổi đáng kể trong cách tiếp cận quản lý bảo mật thông tin.

‍

Mặc dù đánh giá cao những nỗ lực truyền thông của Cơ quan An ninh mạng Quốc gia (ACN), ưu tiên các quy trình đàn áp và trừng phạt hơn là thúc đẩy sự tham gia tích cực, nhưng rõ ràng là việc thực hiện các mục tiêu của Chỉ thị không thể chỉ được giải quyết bằng cách tuân thủ chính thức hệ thống quản lý an ninh - thường được gọi là "an ninh trên giấy tờ" - mà thay vào đó đòi hỏi phải nỗ lực đáng kể để xác định các mục tiêu an ninh cụ thể và bền vững.

Mở rộng phạm vi: Ai tham gia vào NIS2?

Chỉ thị NIS2 là một bước tiến quan trọng hướng tới an ninh mạng cao hơn và khả năng phục hồi chung ở cấp độ châu Âu. Khi nói đến các quy định và chỉ thị, nhiều công ty coi việc tuân thủ là mục tiêu cuối cùng: điều họ phải đạt được bằng cách đáp ứng các yêu cầu tối thiểu. Tuy nhiên, đây nên được coi là điểm khởi đầu để đạt được mức độ an ninh mạng cao hơn.

Chỉ thị NIS2 là kết quả của quá trình sửa đổi toàn diện NIS và đánh dấu một bước quan trọng nữa hướng tới việc xác định đầy đủ chiến lược an ninh mạng của châu Âu, thiết lập các phản ứng phù hợp, phối hợp và sáng tạo của các quốc gia thành viên nhằm đảm bảo tính liên tục của các dịch vụ kỹ thuật số trong trường hợp xảy ra sự cố an ninh.

‍

NIS2 mở rộng đáng kể phạm vi của Chỉ thị NIS trước đó, bao gồm các lĩnh vực quan trọng như quản lý chất thải, vận tải, công nghiệp thực phẩm, cung cấp và phân phối nước uống, cơ sở hạ tầng kỹ thuật số, hành chính công, sản xuất, nghiên cứu và phát triển thuốc và thiết bị y tế, và lĩnh vực vũ trụ.

‍

Nghị định lập pháp 138/2024, chuyển Chỉ thị NIS2 vào hệ thống pháp luật của chúng tôi, quy định rằng các điều khoản này sẽ có hiệu lực từ ngày 16 tháng 10 năm 2024.

‍

Quy định này sẽ không áp dụng cho các doanh nghiệp nhỏ trừ khi thực thể đó được xác định là “quan trọng” theo Chỉ thị ECR , là nhà cung cấp mạng lưới truyền thông điện tử công cộng, nhà cung cấp dịch vụ tin cậy hoặc thuộc các danh mục cụ thể khác được coi là thiết yếu.

‍

NIS2 cũng áp dụng cho các công ty có ít hơn 50 nhân viên nếu họ cung cấp dịch vụ thiết yếu tại một quốc gia thành viên, nếu dịch vụ của họ có ý nghĩa quan trọng đối với an toàn, an ninh hoặc sức khỏe cộng đồng, hoặc nếu họ là một phần trong chuỗi cung ứng của một công ty thiết yếu hoặc quan trọng.

‍

Các vấn đề quan trọng chính đối với doanh nghiệp

‍

1. Độ phức tạp của mô hình phân lớp và các vấn đề phân loại

Sự phức tạp trong vận hành này được phản ánh trong quyết định của nhà lập pháp Ý khi thiết kế mô hình "phân tầng". Lớp đầu tiên là lớp tiêu chuẩn, nghĩa là các thực thể thiết yếu hoặc quan trọng vượt quá giới hạn quy mô đối với doanh nghiệp nhỏ. Lớp thứ hai bao gồm các thực thể, bất kể quy mô hay doanh thu, đều thuộc các danh mục cụ thể đã được thiết lập.

‍

Một vấn đề quan trọng liên quan đến việc đo lường thực tế khía cạnh kích thước, do đề cập đến khái niệm "các công ty liên kết", mà trong thế giới kinh doanh, không phải lúc nào cũng có tầm nhìn rõ ràng tuyệt đối.

‍

Về mặt lý thuyết, mối liên hệ giữa hai hoặc nhiều công ty không phụ thuộc vào mong muốn thành lập một nhóm chính thức, với hệ quả là loại trừ khỏi danh mục doanh nghiệp vừa và nhỏ những thực thể, ngay cả khi xét riêng lẻ, cũng không đạt đến giới hạn quy mô do luật định.

‍

2. Chi phí kinh tế và tổ chức

Chuyển từ quy trình lý tưởng sang phương pháp tiếp cận cụ thể, vấn đề lại hoàn toàn khác, vì nó liên quan đến quy mô kinh tế của một quốc gia có cơ cấu nền tảng là một số lượng lớn doanh nghiệp vừa và nhỏ. Điều này đặt ra một thách thức đáng kể trong việc triển khai NIS2, vốn có thể trở thành gánh nặng quá mức đối với các doanh nghiệp nhỏ.

‍

Được thiết lập với mục tiêu cải thiện an ninh mạng tại Liên minh Châu Âu, các biện pháp trừng phạt theo Chỉ thị NIS2 chủ yếu mang tính hành chính và hình sự. Các nhà khai thác thiết yếu có thể bị phạt hành chính lên tới 10 triệu euro hoặc 2% tổng doanh thu toàn cầu. Tuy nhiên, các nhà khai thác lớn có thể bị phạt lên tới 7 triệu euro hoặc 1,4% tổng doanh thu toàn cầu.

‍

3. Trách nhiệm quản lý

Nghị định Lập pháp này đưa ra một quy định chắc chắn: các cơ quan hành chính và quản lý sẽ phải chịu trách nhiệm. Các cơ quan quản lý của công ty sẽ phải đóng vai trò tích cực trong việc tuân thủ pháp luật, phải phê duyệt các phương pháp thực hiện các biện pháp quản lý rủi ro an ninh, giám sát việc thực hiện các nghĩa vụ do pháp luật quy định và phải chịu trách nhiệm về các hành vi vi phạm.

4. Báo cáo sự cố và quản lý rủi ro

Nghị định thực thi này tăng cường nghĩa vụ báo cáo sự cố, yêu cầu các sự cố có tác động đáng kể đến việc cung cấp dịch vụ phải được báo cáo ngay cho CSIRT Ý. Quy trình báo cáo yêu cầu các thời hạn nghiêm ngặt: thông báo trước trong vòng 24 giờ, thông báo trong vòng 72 giờ sau sự cố và báo cáo cuối cùng trong vòng một tháng sau sự cố.

‍

Chỉ thị NIS2 thiết lập một loạt các yêu cầu chính mà các tổ chức phải đáp ứng để đảm bảo an ninh mạng ở mức độ cao. Các yêu cầu này bao gồm: phân tích rủi ro và chính sách bảo mật hệ thống thông tin, chiến lược đánh giá hiệu quả của các biện pháp quản lý rủi ro, cũng như các biện pháp vệ sinh kỹ thuật số cơ bản và đào tạo an ninh mạng.

‍

5. Tập trung vào chuỗi cung ứng

Rõ ràng là luật thực hiện Chỉ thị NIS2 không chỉ tập trung vào các lĩnh vực được coi là cực kỳ quan trọng hoặc thiết yếu mà còn hướng đến cả các nhà cung cấp của các lĩnh vực này, qua đó mở rộng đáng kể số lượng các thực thể có khả năng bị ảnh hưởng bởi việc áp dụng Nghị định lập pháp.

‍

Chỉ thị NIS 2 yêu cầu các thực thể có nghĩa vụ phải áp dụng các biện pháp kỹ thuật, vận hành và tổ chức phù hợp và tương xứng để quản lý rủi ro đối với bảo mật của hệ thống và mạng thông tin, đồng thời tính đến bảo mật của chuỗi cung ứng, bao gồm các khía cạnh bảo mật liên quan đến mối quan hệ giữa mỗi thực thể và các nhà cung cấp hoặc nhà cung cấp dịch vụ trực tiếp của thực thể đó.

‍

Các thời hạn quan trọng cần đáp ứng

Cuộc đua tuân thủ đã bắt đầu, với việc tuân thủ dự kiến hoàn tất vào tháng 10 năm 2026. Đến đầu năm 2025, các công ty được xác định là thực thể NIS2 phải vận hành với tất cả các biện pháp bắt buộc, bao gồm hệ thống quản lý an ninh mạng và trách nhiệm giải trình của ban quản lý. Đến tháng 5 năm 2025, các công ty phải cập nhật dữ liệu của mình trên nền tảng của tổ chức. Yêu cầu chính thức về việc thông báo kịp thời các sự cố quan trọng có hiệu lực vào tháng 1 năm 2026, trong khi các tổ chức phải triển khai tất cả các biện pháp an ninh bắt buộc trước tháng 9 năm 2026.

‍

Quy định mới về An ninh Mạng và Thông tin (NIS) có hiệu lực từ ngày 16 tháng 10 năm 2024. ACN là Cơ quan NIS có thẩm quyền và là đầu mối liên hệ duy nhất. Từ ngày 1 tháng 12 năm 2024 đến ngày 28 tháng 2 năm 2025, các doanh nghiệp vừa và lớn, bao gồm một số doanh nghiệp nhỏ và siêu nhỏ, và các cơ quan hành chính công thuộc phạm vi áp dụng của quy định mới, phải đăng ký trên cổng thông tin dịch vụ ACN.

‍

Kết luận: một sự thay đổi mô hình cần thiết nhưng đầy thách thức

Sự kết nối và số hóa ngày càng tăng của xã hội đã khiến các tổ chức, doanh nghiệp và công dân ngày càng dễ bị tấn công mạng.

‍

Ban lãnh đạo Cơ quan An ninh mạng Quốc gia đã công khai cam kết duy trì quá trình này một cách bền vững, điều này có thể thực sự đánh dấu một bước ngoặt trong khả năng ứng phó với các mối đe dọa ngày càng gia tăng của đất nước. Cần phải chờ xem bộ máy hành chính và sản xuất của đất nước sẽ phản ứng như thế nào trước sự thay đổi văn hóa rõ ràng là sâu sắc này, và hiển nhiên, nó sẽ không phải là một cuộc dạo chơi dễ dàng hay một "chi phí trung tính".

‍

Do đó, việc tuân thủ NIS2 không chỉ giúp công ty tuân thủ mà còn là cơ hội tuyệt vời để xây dựng văn hóa bảo mật cũng như các biện pháp thực hành tốt nhất về mặt kỹ thuật và tổ chức, từ đó cải thiện đáng kể an ninh CNTT. Tuy nhiên, điều quan trọng là phải bắt đầu xây dựng kế hoạch tuân thủ ngay lập tức để dần dần chuẩn hóa các tài sản và nhân sự khác nhau của công ty thông qua đào tạo định kỳ phù hợp.

Ngay cả khi bạn không nằm trong số những công ty phải tuân thủ Chỉ thị NIS2, việc bắt đầu chương trình nâng cao nhận thức về rủi ro an ninh mạng vẫn rất quan trọng để bảo vệ tương lai cho doanh nghiệp của bạn.

‍

Do đó, NIS2 là một thách thức phức tạp nhưng cần thiết đối với các công ty Ý. Mặc dù đặt ra những nghĩa vụ và trách nhiệm mới có vẻ nặng nề, nhưng nó cũng mang đến cơ hội để xem xét lại an ninh mạng như một yếu tố chiến lược chứ không chỉ đơn thuần là một chi phí.