Կիբեռանվտանգությունն այլևս միայն տեխնիկական բաժնի գործը չէ։ Հունաստանում մի շարք բիզնեսների համար այն դարձել է իրավական պարտավորություն, կառավարման հարց և բիզնեսի շարունակականության հարց։ NIS2 հրահանգը և հունական 5160/2024 օրենքը փոխում են այն եղանակը, որով կիբեռռիսկերը դիտարկվում են կարևոր ոլորտներում՝ էներգետիկա, տրանսպորտ, առողջապահություն, ֆինանսական ծառայություններ, թվային ենթակառուցվածքներ, սնունդ, սուրհանդակային ծառայություններ, արտադրություն, հետազոտություն, որոշակի ապրանքների արտադրություն և այլ գործունեություններ, որոնք կարող են ազդել տնտեսական և սոցիալական կյանքի վրա։
Պարզ ասած՝ պետությունն այլևս միայն չի հարցնում՝ "ունե՞ք antivirus"։ Այն հարցնում է՝ բիզնեսը գիտի՞, թե ինչ համակարգեր ունի, որ մատակարարներն ունեն հասանելիություն, ով է որոշում կայացնում միջադեպի ժամանակ, երբ է տեղեկացվում մարմինը, արդյոք կան պահուստային պատճեններ, արդյոք ղեկավարությունը հաստատել է քաղաքականություններ և արդյոք այս ամենը կարելի է ապացուցել։
NIS2-ը պարզապես տեխնիկական checklist չէ
Ղեկավարությանը պետք է փաստաթղթավորված պատկեր համակարգերի, մատակարարների, backups-ի, դերերի, միջադեպերի և հաշվետվությունների վերաբերյալ։ Սա նշանակում է որոշումներ, գրառումներ և կիրառման վերահսկում, ոչ միայն նոր software-ի գնում։
Այս հոդվածը գործնականորեն բացատրում է, թե ում է վերաբերում NIS2-ը Հունաստանում, ինչ պետք է ստուգի բիզնեսը և որ առաջին քայլերն են իմաստալից, մինչև հարցը դառնա հրատապ։
Ինչ է NIS2-ը և ինչու է այն այժմ մեզ վերաբերում
NIS2-ը ցանցերի և տեղեկատվական համակարգերի անվտանգության վերաբերյալ երկրորդ եվրոպական հրահանգն է։ Այն փոխարինեց նախկին NIS1-ին և զգալիորեն ընդլայնեց կիրառման շրջանակը։ Հունաստանը այն ներառեց ազգային իրավունքի մեջ 5160/2024 օրենքով, որը հրապարակվել է Կառավարության տեղեկագրում A' 195/27.11.2024։
Հիմնական գաղափարը պարզ է․ երբ բիզնեսը կամ մարմինը տրամադրում է ծառայություն, որը կարևոր է շուկայի, հասարակության կամ հանրային գործառույթի համար, նա չի կարող կիբեռանվտանգությանը վերաբերվել որպես ընտրովի ծախսի։ Պետք է ունենա կանխարգելման, ռիսկերի կառավարման, միջադեպերի արձագանքման և լուրջ դեպքերի հաղորդման կազմակերպված համակարգ։
NIS2-ը չի վերաբերում միայն "մեծ բանկերին" կամ "պետական մարմիններին"։ Այն վերաբերում է նաև մասնավոր բիզնեսներին, որոնք գործում են որոշակի ոլորտներում և բավարարում են չափի չափանիշները կամ հատուկ պայմանները։ Այդ պատճառով յուրաքանչյուր բիզնեսի առաջին գործնական հարցն է․ "Ես կիրառման շրջանակո՞ւմ եմ, թե ոչ"։
Որ բիզնեսները կարող են ազդվել
Հունական օրենքը կառուցված է երկու կատեգորիայի շուրջ՝ "հիմնական սուբյեկտներ" և "կարևոր սուբյեկտներ"։ Դրանք պարզապես պիտակներ չեն։ Կատեգորիան ազդում է վերահսկողության աստիճանի, պարտավորությունների և այն եղանակի վրա, որով բիզնեսը պետք է կազմակերպի իր համապատասխանությունը։
Որպես կանոն՝ ուսումնասիրվում է երկու բան՝ գործունեության ոլորտը և բիզնեսի չափը։ Կրիտիկական ոլորտների միջին և խոշոր բիզնեսներն առաջինն են, որոնք պետք է կատարեն ընդգրկման ստուգում։ Սակայն կան նաև դեպքեր, երբ ընդգրկումը կարող է գործել անկախ չափից, օրինակ՝ որոշ թվային կամ էլեկտրոնային ծառայությունների մատակարարների, վստահության ծառայությունների մատակարարների, դոմենային անունների ռեգիստրների և DNS ծառայությունների դեպքում։
Ցուցիչ ստուգման աղյուսակ
| Հարց | Ինչու է կարևոր | Գործնական քայլ |
|---|---|---|
| Որ ոլորտում է գործում բիզնեսը՞ | NIS2-ը կիրառվում է բարձր կամ այլ տեսակի կրիտիկականություն ունեցող կոնկրետ ոլորտների նկատմամբ։ | Համեմատեք գործունեության կոդերը, փաստացի գործունեությունը և պայմանագրերը 5160/2024 օրենքի Հավելվածների հետ։ |
| Միջին կամ խոշոր բիզնես է՞ | Չափը շատ կատեգորիաների համար ընդգրկման հիմնական չափանիշ է։ | Ստուգեք աշխատողների թիվը, շրջանառությունը և հաշվեկշիռը ՓՄՁ չափանիշներով։ |
| Այլ բիզնեսներին տրամադրո՞ւմ է կրիտիկական ծառայություն | Դադարեցման ազդեցությունը կարող է բարձրացնել սուբյեկտի կարևորությունը։ | Քարտեզագրեք հաճախորդներին, SLA-ները, հանրային ծառայությունները և կրիտիկական կախվածությունները։ |
| Ունի՞ թվային ենթակառուցվածքներ, cloud, managed services կամ security services | Թվային մատակարարները հատուկ կարևոր են NIS2-ում։ | Ստուգեք՝ արդյոք ընկնում եք DNS, cloud, data center, MSP, MSSP կամ online marketplaces մատակարարների մեջ։ |
| Կա՞ գրանցման պարտավորություն ինքնահայտարարության հարթակում | Գրանցումը իրավական պարտավորություն է այն սուբյեկտների համար, որոնք ընդգրկվում են օրենքի շրջանակում։ | Կատարեք փաստաթղթավորված գնահատում և, որտեղ պահանջվում է, գրանցվեք nis2register.cyber.gov.gr-ում։ |
Բիզնեսների օրինակներ, որոնք պետք է լուրջ դիտարկեն NIS2-ը
Լայն բաշխման ցանց ունեցող սուրհանդակային ընկերությունը չի ռիսկի միայն email-ի կորստով։ Եթե երթուղավորման, ծանրոցների tracking-ի կամ հաշիվների համակարգը խափանվի, դադարեցումը կարող է ազդել հաճախորդների, գործընկերների և շուկայի վրա։ Արդյունաբերական արտադրություն ունեցող սննդի ընկերությունը չունի միայն առևտրային ռիսկ։ Եթե միջադեպը ազդի արտադրական գծի, հետագծելիության կամ սառը շղթայի վրա, խնդիրը կարող է դառնալ օպերացիոն և կարգավորիչ։
Նույնը վերաբերում է տեխնոլոգիական մատակարարներին։ Ընկերությունը, որը managed IT է առաջարկում բազմաթիվ հաճախորդների, կարող է դառնալ հարձակման "կենտրոնական միջանցքը"։ Եթե հեռահար կառավարման գործիքը խախտվի, չի ազդվում միայն այդ ընկերությունը, այլ նաև նրա հաճախորդները։ Այստեղ է, որ NIS2-ը պնդում է մատակարարման շղթայի անվտանգության և անմիջական մատակարարների կամ ծառայություն մատուցողների հետ հարաբերությունների վրա։
Գործնականում շատ հունական բիզնեսներ պատասխանը չեն գտնի միայն իրենց անվանումից։ Պետք է նայեն, թե իրականում ինչ են անում։ Մի բան է "տեղեկատվական տեխնոլոգիաների ընկերությունը", որը մանրածախ սարքավորում է վաճառում, և այլ բան է ընկերությունը, որը կարևոր հաճախորդների համար վարում է cloud, data center, կիբեռանվտանգության կամ ենթակառուցվածքի կառավարման ծառայություններ։
Ինչ է նշանակում "հիմնական" և ինչ՝ "կարևոր" սուբյեկտ
Հիմնական սուբյեկտները կապված են ավելի բարձր կրիտիկականության աստիճանի հետ։ Գործնականում սա նշանակում է ավելացված ուշադրություն, կանխարգելիչ վերահսկողության ավելի մեծ հավանականություն և փաստաթղթավորման ավելի բարձր պահանջներ։ Կարևոր սուբյեկտները "թեթև" կատեգորիա չեն։ Նրանք նույնպես ունեն էական պարտավորություններ, պարզապես վերահսկողության եղանակը և ստուգումների ինտենսիվությունը կարող են տարբեր լինել։
Տարբերությունը կարևոր է նաև տուգանքների համար։ Ռիսկերի կառավարման միջոցների կամ միջադեպերի հաղորդման պարտավորությունների խախտումների համար 5160/2024 օրենքը նախատեսում է առավելագույն սահմաններ, որոնք հիմնական սուբյեկտների համար կարող են հասնել 10.000.000 եվրոյի կամ համաշխարհային տարեկան շրջանառության 2%-ի, իսկ կարևոր սուբյեկտների համար՝ 7.000.000 եվրոյի կամ համաշխարհային տարեկան շրջանառության 1,4%-ի՝ կախված նրանից, թե որն է ավելի բարձր։
Այս գումարները չեն նշանակում, որ յուրաքանչյուր խախտում ինքնաբերաբար հանգեցնում է առավելագույն տուգանքի։ Բայց դրանք նշանակում են, որ համապատասխանությունը չի կարող մնալ ընդհանուր քաղաքականություններով լի թղթապանակում։ Ղեկավարությունը պետք է կարողանա ցույց տալ, որ հասկացել է ռիսկը, հաստատել է միջոցներ, հատկացրել է ռեսուրսներ և հետևում է կիրառմանը։
Ինքնահայտարարության հարթակը և առաջին վարչական պարտավորությունը
Կիբեռանվտանգության ազգային մարմինը գործարկել է 5160/2024 օրենքի համար սուբյեկտների գրանցման հարթակ։ Գրանցումը չի վերաբերում ֆիզիկական անձանց, այլ իրավաբանական անձանց և մարմիններին, որոնք ընդգրկվում են կիրառման շրջանակում։ Հարթակը պահանջում է տվյալներ, օրինակ՝ սուբյեկտի հիմնական տվյալներ, օրինական ներկայացուցիչ, ծառայությունների տեսակ, IP ranges և domain names։
Սա կարևոր է, որովհետև ցույց է տալիս օրենքի տրամաբանությունը։ Մարմինը չի ուզում միայն իմանալ՝ "ով կա"։ Այն ուզում է պատկեր ունենալ այն թվային մակերեսների մասին, որոնք աջակցում են կրիտիկական ծառայություններին։ Բիզնեսը, որը չի գրանցել իր domains-ը, համակարգերը, հանրային IP-ները, մատակարարները և մուտքի կետերը, դժվարություն կունենա և գրանցման, և էական համապատասխանության մեջ։
Ճիշտ մոտեցումը "արագ գրանցվենք ու հետո կտեսնենք" չէ։ Պետք է ներքին ստուգում անել՝ ընդգրկում, կատեգորիա, ծառայություններ, համակարգեր, պատասխանատուներ, մատակարարներ, ներկայացվելիք տվյալներ և դրանց փոփոխության դեպքում թարմացման ընթացակարգ։
Ինչ պետք է գործնականում անի բիզնեսը
NIS2-ը բոլոր բիզնեսներից նույն գործիքները չի պահանջում։ Բայց պահանջում է համապատասխան և համաչափ տեխնիկական, օպերացիոն և կազմակերպական միջոցներ։ Սա նշանակում է, որ 250 աշխատող, cloud ERP, արտադրական համակարգեր և տասնյակ մատակարարներ ունեցող բիզնեսը չի կարող ունենալ նույն հասունությունը, ինչ փոքր գրասենյակը։ Համաչափությունը անգործության արդարացում չէ։ Դա իրական ռիսկին համապատասխանող միջոցներ նախագծելու եղանակ է։
Համապատասխանության առաջին քայլերը
| Քայլ | Ինչ ենք անում | Ինչ պետք է մնա որպես ապացույց |
|---|---|---|
| 1. Ընդգրկման ստուգում | Ստուգում ենք ոլորտը, չափը, ծառայությունները և հատուկ կատեգորիաները։ | Կարճ memo ընդգրկման մասին՝ իրավական և տեխնիկական փաստաթղթավորմամբ։ |
| 2. Համակարգերի քարտեզագրում | Գրանցում ենք կրիտիկական համակարգերը, domains-ը, IP-ները, հավելվածները, cloud-ը, backups-ը։ | Asset register, network diagram, մատակարարների և պատասխանատուների ցուցակ։ |
| 3. Risk assessment | Գնահատում ենք հավանականությունը, ազդեցությունը և ռիսկերի առաջնահերթությունները։ | Ռիսկերի աղյուսակ, ամսաթիվ, մասնակիցներ, ղեկավարության որոշում։ |
| 4. Risk treatment plan | Ընտրում ենք միջոցներ՝ MFA, backups, logging, patching, endpoint security, incident response։ | Գործողությունների պլան՝ պատասխանատուով, ժամկետով և status-ով։ |
| 5. Incident response ընթացակարգ | Սահմանում ենք, թե ով ինչ է անում միջադեպի ժամանակ։ | Playbook, կոնտակտների ցուցակ, reporting template, վարժանքներ։ |
| 6. Վերապատրաստում | Վերապատրաստում ենք ղեկավարությանը և անձնակազմին առնվազն տարեկան։ | Ներկայության ցուցակներ, ուսումնական նյութ, կարճ գիտելիքի ստուգումներ։ |
| 7. Մատակարարների վերահսկում | Անվտանգության պահանջներ ենք դնում IT, cloud, ERP, MSP, MSSP, payroll, logistics ծառայությունների վրա։ | Պայմանագրային դրույթներ, security questionnaires, SLA, DPA որտեղ պետք է։ |
Միջոցները միայն տեխնիկական չեն
Շատ բիզնեսներ լսում են "կիբեռանվտանգություն" և մտածում են firewall-ի մասին։ NIS2-ն ավելի լայն է։ Այն ներառում է ռիսկերի վերլուծության քաղաքականություններ, միջադեպերի կառավարում, բիզնեսի շարունակականություն, պահուստային պատճեններ և վերականգնում, մատակարարման շղթայի անվտանգություն, համակարգերի անվտանգ զարգացում և սպասարկում, միջոցների արդյունավետության գնահատում, կիբեռհիգիենա, վերապատրաստում, կոդավորում, մուտքի վերահսկում, ակտիվների կառավարում և բազմագործոն նույնականացում։
Կրիտիկական կետը տեխնիկական միջոցների կապն է ղեկավարության պատասխանատվության հետ։ Եթե բիզնեսը ունի MFA, բայց չգիտի, թե որ հաշիվների վրա այն չի կիրառվում, բաց կա։ Եթե ունի backups, բայց restore չի փորձարկել, բաց կա։ Եթե ունի IT մատակարար, բայց չունի պայմանագիր, որտեղ ասվում է՝ երբ է նա տեղեկացնում միջադեպի մասին, բաց կա։ Եթե ունի անվտանգության քաղաքականություն, բայց աշխատողները այն չգիտեն, բաց կա։
Կիբեռանվտանգության պահանջների ազգային շրջանակի վերաբերյալ 1689/2025 համատեղ նախարարական որոշումը այս տրամաբանությունը դարձնում է ավելի գործնական։ Այն խոսում է տեխնիկական, օպերացիոն և կազմակերպական միջոցների, ռիսկի ամբողջական մոտեցման, համաչափության և ապացույցների մասին՝ քաղաքականություններ, ընթացակարգեր, վարչական խորհրդի արձանագրություններ, պայմանագրեր, վերապատրաստման վկայականներ, ցանցային գծապատկերներ, բիզնեսի շարունակականության պլաններ, աուդիտի հաշվետվություններ և այլ տվյալներ, որոնք ցույց են տալիս, որ համապատասխանությունը կիրառվում է։
Միջադեպերի հաղորդում․ 24 ժամը և 72 ժամը
Ամենագործնական և դժվար կետերից մեկը նշանակալի միջադեպերի հաղորդումն է։ Օրենքը նախատեսում է, որ հիմնական և կարևոր սուբյեկտները նշանակալի միջադեպերը հաղորդում են Կիբեռանվտանգության ազգային մարմնի իրավասու CSIRT-ին։ Նշանակալի է համարվում, ի թիվս այլնի, այն միջադեպը, որը առաջացրել է կամ կարող է առաջացնել լուրջ օպերացիոն խաթարում կամ ֆինանսական վնաս, կամ ազդել այլ ֆիզիկական կամ իրավաբանական անձանց վրա՝ պատճառելով նշանակալի նյութական կամ ոչ նյութական վնաս։
Ժամանակային ճնշումը մեծ է։ Վաղ նախազգուշացումը պետք է ներկայացվի առանց անհիմն ուշացման և, ամեն դեպքում, 24 ժամվա ընթացքում այն պահից, երբ սուբյեկտը տեղեկացավ նշանակալի միջադեպի մասին։ Ավելի ամբողջական միջադեպի հաղորդումը պետք է հետևի 72 ժամվա ընթացքում։ Վերջնական զեկույցը, որպես կանոն, ներկայացվում է հաղորդումից հետո ոչ ուշ, քան մեկ ամսում։
Սա նշանակում է, որ incident response-ը չի կարող գրվել դեպքից հետո։ Այն պետք է գոյություն ունենա նախապես։ Ո՞վ է որոշում, որ միջադեպը "նշանակալի" է։ Ո՞վ է խոսում տեխնիկական թիմի հետ։ Ո՞վ է տեղեկացնում իրավաբանին, DPO-ին, ղեկավարությանը, հաճախորդներին կամ մարմնին։ Ո՞վ է պահպանում ապացույցները՝ առանց դրանք փոփոխելու։ Եթե այս հարցերը նախապես որոշված չեն, առաջին 24 ժամը կորում է։
NIS2, GDPR և անձնական տվյալներ
NIS2-ը չի վերացնում GDPR-ը։ Դրանք հաճախ կգործեն միասին։ ERP-ում ransomware-ը կարող է միաժամանակ լինել կիբեռանվտանգության միջադեպ և անձնական տվյալների խախտում։ Հաճախորդների տվյալների արտահոսքը կարող է գնահատում պահանջել և GDPR-ի, և 5160/2024 օրենքի հիման վրա, եթե բիզնեսը հիմնական կամ կարևոր սուբյեկտ է։
Գործնական հետևանքը այն է, որ բիզնեսը պետք է համակարգի երեք դեր՝ տեխնիկական թիմ կամ արտաքին IT, իրավաբան և տվյալների պաշտպանության պատասխանատու, որտեղ կա։ Բավարար չէ, որ IT-ն "փակի անցքը"։ Պետք է գնահատվի՝ կա՞ հաղորդման պարտավորություն, ինչ ապացույցներ կան, ովքեր են ազդվել, ինչ պետք է ասել և ինչ ժամկետում։
Պայմանագրեր մատակարարների հետ․ այն կետը, որը մոռացվում է
Մատակարարման շղթան NIS2-ի ամենակարևոր կետերից մեկն է։ Գործնականում բազմաթիվ հարձակումներ անցնում են մատակարարների միջոցով՝ remote access tools, cloud consoles, ERP software, email services, hosting, domain management, outsourced support, backup services։ Եթե մատակարարը ունի թույլ մուտքի վերահսկում, թարմացումների վատ կառավարում կամ ուշացնում է տեղեկացումը, հիմնական բիզնեսը ենթարկվում է ռիսկի։
IT մատակարարների հետ պայմանագրերը պետք է ավելի կոնկրետ դառնան։ Դրանք պետք է սահմանեն անվտանգության մակարդակներ, միջադեպերի մասին տեղեկացնելու պարտավորություն, արձագանքման ժամկետներ, forensic ստուգման պարտականություններ, logs-ի հասանելիություն, backup քաղաքականություն, տվյալների պահպանման աշխարհագրություն, ենթակապալառուների պարտավորություններ և դուրս գալու ընթացակարգ։ Սա "իրավական մանրուք" չէ։ Սա տարբերությունն է այն բիզնեսի միջև, որը գիտի՝ ով ինչ է անում, և այն բիզնեսի, որը ճգնաժամի պահին պայմանագրեր է փնտրում։
Գործնական օրինակ
Վերցնենք հունական միջին logistics բիզնես, որն օգտագործում է cloud ERP, պատվերների հավելված, tracking համակարգ, կորպորատիվ email, պահեստներում handheld սարքեր և արտաքին IT մատակարար։ Ղեկավարությունը կարծում է, որ "մատակարարն ամեն ինչ ունի"։ Իրականում բիզնեսը պետք է իմանա՝ արդյոք ընդգրկվում է NIS2-ի մեջ, որ համակարգերն են կրիտիկական, ինչ տվյալներ է պահում, որ դադարեցումը կկանգնեցնի առաքումները և ով ունի administrator իրավունքներ։
Առաջին լուրջ քայլը ևս մեկ գործիք գնելը չէ։ Պետք է քարտեզ կազմել՝ համակարգեր, դերեր, մատակարարներ, ռիսկեր, backups, մուտք, պայմանագրեր, միջադեպի պլան։ Դրանից հետո կարելի է առաջնահերթություններ դնել՝ MFA բոլոր կրիտիկական հաշիվների համար, admin իրավունքների սահմանափակում, backup restore-ի ստուգում, logging, endpoint protection, patch management, անձնակազմի վերապատրաստում, մատակարարների դրույթներ և միջադեպի արձագանքման վարժանք։
Եթե միջադեպ լինի, բիզնեսը կկարողանա պատասխանել՝ երբ է այն նկատել, ինչ է ազդվել, արդյոք այն նշանակալի է, ով է տեղեկացվել, ինչ միջոցներ են ձեռնարկվել, ինչ ապացույցներ են պահպանվել և կա՞ արդյոք հաղորդման պարտավորություն։ Սա է համապատասխանության գործնական արժեքը։
Ինչ անել բիզնեսը վաղը առավոտյան
Պետք չէ սկսել կատարյալ ծրագրից։ Պետք է սկսել ճիշտ հերթականությամբ։
Նախ՝ կատարել ընդգրկման ստուգում՝ ոլորտի, չափի և իրական ծառայությունների հիման վրա։ Երկրորդ՝ նշանակել նախագծի պատասխանատու՝ ղեկավարության մասնակցությամբ, ոչ միայն IT։ Երրորդ՝ գրանցել կրիտիկական համակարգերը, մատակարարները, domains-ը և IP ranges-ը։ Չորրորդ՝ պատրաստել risk assessment և գործողությունների պլան։ Հինգերորդ՝ ստուգել, կա՞ արդյոք ինքնահայտարարության հարթակում գրանցման պարտավորություն։ Վեցերորդ՝ կազմել incident response playbook՝ 24/72 ժամի ընթացակարգով։ Յոթերորդ՝ վերանայել հիմնական մատակարարների հետ պայմանագրերը։
Ամենաօգտակար չափանիշը պարզ է․ եթե վաղը կորցվի email-ի, ERP-ի կամ արտադրական համակարգի հասանելիությունը, գիտե՞նք՝ ով է որոշում կայացնում, ով է տեղեկացնում, ով է վերականգնում և ինչ պետք է հաղորդվի։ Եթե պատասխանը ոչ է, բիզնեսը աշխատանք ունի։
Հաճախ տրվող հարցեր
NIS2-ը վերաբերում է փոքր բիզնեսների՞ն
Որպես կանոն՝ այն հիմնականում թիրախավորում է միջին և խոշոր բիզնեսներին որոշակի կրիտիկական ոլորտներում։ Սակայն կան հատուկ դեպքեր, երբ ընդգրկումը կարող է գործել անկախ չափից, հատկապես որոշ թվային ծառայություններում։ Փոքր բիզնեսը, որը հիմնական կամ կարևոր սուբյեկտի մատակարար է, կարող է նաև ստանալ ավելի խիստ պայմանագրային պահանջներ, նույնիսկ եթե անմիջապես չի ընդգրկվում։
Եթե ունենք ISO 27001, ապահովագրվա՞ծ ենք
ISO 27001-ը շատ է օգնում, բայց ինքնաբերաբար ազատում չէ։ Անհրաժեշտ է controls-ը համապատասխանեցնել 5160/2024 օրենքի և 1689/2025 համատեղ նախարարական որոշման պահանջներին, հատկապես reporting-ի, ղեկավարության պատասխանատվության, մատակարարման շղթայի և փաստաթղթավորման մասով։
Պե՞տք է միշտ տեղեկացնենք մարմնին ամեն տեխնիկական խնդրի մասին
Ոչ։ Պարտավորությունը վերաբերում է նշանակալի միջադեպերին, այսինքն՝ լուրջ օպերացիոն, ֆինանսական կամ այլ ազդեցություն ունեցող միջադեպերին, ինչպես սահմանում է օրենքը։ Այդ պատճառով անհրաժեշտ է ներքին գնահատման չափանիշ, ոչ թե խուճապ յուրաքանչյուր alert-ի դեպքում։
Ով պետք է ստանձնի ընկերության ներսում
Տեխնիկական թիմը անհրաժեշտ է, բայց պատասխանատվությունը միայն տեխնիկական չէ։ Պետք է ղեկավարության, իրավաբանի, ֆինանսական տնօրինության, DPO-ի՝ որտեղ կա, օպերացիոն և գնումների պատասխանատուների մասնակցություն։ NIS2-ը ռիսկերի կառավարման ծրագիր է, ոչ թե առանձին IT project։
Ինչ կարող է վճարել բիզնեսը
Օրենքը նախատեսում է բարձր առավելագույն տուգանքներ, հատկապես ռիսկերի կառավարման միջոցների և միջադեպերի հաղորդման խախտումների համար։ Տուգանքներից բացի կա նաև իրական արժեք՝ գործունեության դադարեցում, հաճախորդների կորուստ, փոխհատուցումներ, ստուգումներ, խախտումների հրապարակում և վերականգնման ծախս։
Եզրակացություն
NIS2-ը Հունաստանում ևս մեկ համապատասխանության թուղթ չէ։ Դա մտածելակերպի փոփոխություն է։ Բիզնեսը պետք է ճանաչի իր համակարգերը, գնահատի ռիսկերը, վերապատրաստի մարդկանց, վերահսկի մատակարարներին, ունենա միջադեպի պլան և կարողանա ապացուցել, որ այս ամենը կիրառվում է։
Ազդվող բիզնեսների համար ամենավատ սցենարն է սպասել առաջին լուրջ միջադեպին՝ կազմակերպվելու համար։ Լավագույնը սկսելն է հստակ ընդգրկման ստուգումով և գործնական համապատասխանության պլանով։ Ոչ թե թղթապանակներ լցնելու, այլ որպեսզի կարողանան շարունակել գործել, երբ ինչ-որ բան սխալ գնա։
Աղբյուրներ և օգտակար հղումներ
- Կիբեռանվտանգության ազգային մարմին, NIS2 հրահանգ: Կիբեռանվտանգության ազգային մարմին - NIS2 հրահանգ
- 5160/2024 օրենքի սուբյեկտների գրանցման հարթակ: NIS2 սուբյեկտների գրանցման հարթակ
- NIS2 հարթակի FAQ: https://nis2register.cyber.gov.gr/app/content/faq/FAQs_NIS2.pdf
- 5160/2024 օրենք, Կառավարության տեղեկագիր A' 195/27.11.2024: 5160/2024 օրենք - NIS2-ի ներմուծումը Հունաստանում
- 1689/2025 համատեղ նախարարական որոշում, Կիբեռանվտանգության պահանջների ազգային շրջանակ: https://cyber.gov.gr/wp-content/uploads/2025/05/20250202186.pdf
- Եվրոպական հանձնաժողով, NIS2 Directive: https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
- EUR-Lex, Directive (EU) 2022/2555: Հրահանգ (ԵՄ) 2022/2555 - NIS2
Մեկնաբանություններ
Կիսվեք ձեր կարծիքով այս հոդվածի մասին։
Դեռ մեկնաբանություններ չկան։ Եղեք առաջինը։
Ուղարկել մեկնաբանություն