Могут ли NIS2 и DORA улучшить кибербезопасность компаний?

Растет признание угрозы, с которой бизнес сталкивается в результате кибератак.

В соответствии с Барометр рисков Allianz на 2024 годтакие инциденты, как атаки программ-вымогателей, утечки данных и сбои в работе ИТ, с явным преимуществом считаются главным глобальным риском.

Равным образом, глядя на Исследование PwC Global Digital Trust Insights за 2024 годПочти половина (47 процентов) руководителей активно обеспокоены облачными киберугрозами, при этом 36 процентов респондентов столкнулись с утечкой данных на сумму более 1 миллиона долларов в предыдущем году – по сравнению с 27 процентами.

Это обостряющаяся проблема, над решением которой регулирующие органы по всему миру работают, обновляя и улучшая рекомендации, чтобы помочь предприятиям стать более устойчивыми и безопасными.

В последнее время Европейский Союз привлек к себе особое внимание, объявив о двух существенных изменениях в области соблюдения требований кибербезопасности, которые вскоре будут применяться в качестве закона к различным предприятиям.

Первым из них является Директива NIS2. Вступив в силу в январе 2023 года, она представляет собой расширение предыдущей директивы ЕС, требующей от операторов критической инфраструктуры и основных услуг разработки более надежной политики безопасности.

Подробнее о Директиве NIS2 можно узнать здесь.

Вторым, между тем, является Закон о цифровой операционной устойчивости (DORA). Он станет юридически обязательным с января 2025 года. Он устанавливает технические стандарты, которые финансовые организации и их сторонние поставщики важнейших технологических услуг должны внедрять в свои системы ИКТ.

Подробнее о ДОРА можно узнать здесь.

Проблема с субъективным регулированием

Идея этих рамок аналогична: организации, предоставляющие основные услуги, должны уделять приоритетное внимание кибербезопасности, обеспечивая более целостную защиту от цифровых угроз, чтобы уменьшить вероятность сбоев.

Их доводы здравы. Однако они оставляют желать лучшего многим фирмам.

Одной из самых больших проблем как с NIS2, так и с DORA является тот факт, что они чрезмерно сосредотачиваются на обеспечении безопасности и отказоустойчивости, не предоставляя конечным пользователям план достижения успеха. Уделяя слишком много внимания результатам, к которым предприятия должны стремиться, они не могут предложить четких пошаговых указаний о действиях, которые предприятия должны предпринять для достижения этих конечных целей.

Частично это связано с признанием того, что каждый бизнес уникален. Поскольку каждая отдельная организация лучше понимает свои уникальные цифровые следы, считается, что предприятиям имеет смысл интерпретировать руководящие принципы так, как это имеет для них смысл.

Это во многом относится к DORA, где предприятия берут на себя ответственность не только за определение того, что квалифицируется как критически важная для бизнеса услуга, но и за выявление ее взаимосвязанных зависимостей.

К сожалению, если позволить нормативным актам оставаться открытыми для интерпретации таким образом, это может привести к путанице и несоответствиям, усложняя среду как для организаций, так и для аудиторов.

Например, в финансовом секторе два предприятия, предлагающие схожие услуги, могут придерживаться совершенно разных точек зрения относительно определения критически важных для бизнеса услуг и их соответствующих зависимостей.

Выходя за рамки «почему», чтобы посмотреть на «как»

Мы увидели некоторые улучшения при переходе от NIS к NIS2. Руководство не только стало немного лучше, но и стало меньше двусмысленности. Однако, на мой взгляд, она еще далека от совершенства.

Я считаю, что эти структуры должны сделать еще один шаг вперед, чтобы значительно упростить соблюдение требований кибербезопасности для предприятий, которые часто не имеют представления о ландшафте или его требованиях.

Подобные шаги были предприняты и в других секторах, например в строительстве. Если вы хотите построить дом, то строительные нормы и правила Великобритании содержат четкие и строгие рекомендации, которые необходимо соблюдать.

Крайне важно, чтобы NIS2 и DORA двигались в одном направлении. Конечно, это будет не так просто, как повторить то, что было достигнуто в таких отраслях, как строительство. Однако мы уже видели успешные примеры более благоприятных систем кибербезопасности, внедряемых на других крупных рынках по всему миру.

Основная восьмерка Австралии служит ярким примером. Помимо подчеркивания важности восьми ключевых приоритетов безопасности, которые имеют основополагающее значение для достижения более надежной системы, он также предоставляет организациям пошаговые рекомендации для достижения как базового, так и более высокого уровня зрелости.

Представьте себе, что вы покупаете новый замок для своей входной двери – просто вам говорят, что ваш дом будет в безопасности только тогда, когда замок заперт, недостаточно. Вам также потребуется руководство по оптимальной настройке и эксплуатации для обеспечения максимальной эффективности безопасности.

Эти ожидания не должны отличаться при рассмотрении киберструктур. Чтобы конечные пользователи действительно понимали и эффективно следовали рекомендациям, регулирующие органы должны точно описать, как можно достичь наилучшей практики.

Видеть ценность помимо штрафов за несоблюдение требований

Предприятиям, пытающимся эффективно соответствовать повышенным требованиям соответствия, установленным DORA и NIS2, можно предпринять несколько шагов.

Хотя организации, базирующиеся в Великобритании или ЕС, должны соблюдать свои соответствующие законы, руководящие принципы и направления действий более предписывающих рамок могут помочь организациям в информировании своих процессов принятия решений.

Следуя тем же путем, что и те, кто придерживается таких рамок, как австралийская «Основная восьмерка», предприятия могут укрепить уверенность в своих усилиях по соблюдению требований, отойдя от субъективной интерпретации, а также предоставив аудиторам четкую логику.

Однако соблюдение требований кибербезопасности не должно сводиться к простой проверке.

Нормативные требования растут по определенной причине: на фоне растущих киберугроз организации должны внедрять необходимые меры контроля и политики для эффективной защиты.

Этот сдвиг следует рассматривать не как бремя, а скорее как возможность. Подобно тому, как ИТ когда-то воспринимались исключительно как затраты на бизнес, а теперь признаны фактором, способствующим развитию бизнеса, кибербезопасность претерпевает аналогичную трансформацию. Хотя безопасность не может напрямую оптимизировать операции или удвоить доходы, она является важнейшим инструментом для защиты инвестиций и обеспечения непрерывности бизнеса.

Следование рекомендациям по безопасности не должно сводиться к избежанию штрафов за несоблюдение. С отчетность IBM Учитывая, что средняя утечка данных сейчас обходится организациям в 4,45 миллиона долларов, эффективные методы обеспечения безопасности необходимы для защиты бизнеса от гораздо более разрушительных последствий.

Чтобы предотвратить такие катастрофические потери, необходимо уделять приоритетное внимание безопасности. Приняв этот подход, организации естественным образом займут хорошую позицию для удовлетворения меняющихся и растущих требований соответствия.

Дэниел Латтимер — региональный вице-президент компании Всегда.

Читать далее

Когда CISO встречается с CCO: ведущее управление киберрисками – Руководство по безопасности и соблюдению нормативных требований должно тесно сотрудничать, чтобы эффективно руководить управлением киберрисками во всей организации.

Типы атак социальной инженерии, на которые следует обратить внимание – Здесь мы исследуем наиболее опасные атаки социальной инженерии для организаций и способы их предотвращения.

Ключи к эффективному мониторингу угроз кибербезопасности – Сильная стратегия мониторинга угроз кибербезопасности, которая развивается с учетом текущих и потенциальных угроз, имеет решающее значение для долгосрочной защиты всей компании.