ในขณะที่กฎหมายที่จะย้ายคำสั่ง NIS 2 ได้ถูกนำเสนอต่อคณะรัฐมนตรีในวันอังคาร สามวันก่อนถึงเส้นตายการขนย้าย เราจะย้อนกลับไปดูกฎหมายของยุโรปนี้ซึ่งมีจุดมุ่งหมายเพื่อยกระดับความปลอดภัยทางไซเบอร์ทั่วยุโรป
วิธีลดนับไม่ถ้วนการโจมตีทางไซเบอร์ใครกำหนดเป้าหมายธุรกิจและการบริหารของเรา? วันอังคารที่ 15 ตุลาคม เวลา 10.00 นใบแจ้งหนี้มุ่งเสริมสร้างความมั่นคงปลอดภัยทางไซเบอร์ของภาครัฐและเอกชนเสนอต่อคณะรัฐมนตรี ข้อความที่รอมาหลายเดือนจะต้องเปลี่ยนคำสั่งของยุโรป”ความปลอดภัยของเครือข่ายและข้อมูล 2» (เรียกว่า NIS 2)
บิล”มีวัตถุประสงค์เพื่อเสริมสร้างความสามารถในการป้องกันตนเองของเราเมื่อเผชิญกับคุกคามไซเบอร์» อธิบายม็อด เบรเจียน โฆษกรัฐบาล เมื่อวันอังคารหลังคณะรัฐมนตรี ข้อความ “ที่เกี่ยวข้องกับความยืดหยุ่นของกิจกรรมที่สำคัญ การปกป้องโครงสร้างพื้นฐานที่สำคัญ ความปลอดภัยทางไซเบอร์ และความยืดหยุ่นในการดำเนินงานดิจิทัลของภาคการเงิน» ได้รับการเสนอโดยรัฐมนตรี 3 ท่าน (เศรษฐกิจ การอุดมศึกษาและการวิจัย และ AI และดิจิทัล)
เขาจะให้”เครื่องมือใหม่เพื่อปกป้องโครงสร้างพื้นฐานที่สำคัญ พลังงาน การขนส่ง สุขภาพ น้ำดื่ม และระบบการเงินของเรา» ม็อด เบรเจียน กล่าวเสริม หลังจากกล่าวถึงการโจมตีทางคอมพิวเตอร์หลายครั้งที่ส่งผลกระทบต่อฝรั่งเศส
บิลเริ่มต้นขั้นตอนแรกของกระบวนการนิติบัญญัติของฝรั่งเศส... สามวันก่อนถึงเส้นตายในวันที่ 18 ตุลาคม เนื่องจากภายในวันศุกร์ แต่ละประเทศในสหภาพยุโรปควรจะเปลี่ยนคำสั่ง NIS 2 ของยุโรปให้เป็นกฎหมายประจำชาติของตน ในขณะนี้ มีเพียงสองรัฐจาก 27 ประเทศที่เล่นเกมนี้ ได้แก่ เบลเยียมและโครเอเชีย ฝรั่งเศสไม่ใช่หนึ่งในนั้น การยุบสภาแห่งชาติทำให้กระบวนการรับเลี้ยงบุตรบุญธรรมล่าช้า เสนอต่อคณะรัฐมนตรีแล้ว สามารถบรรจุข้อความเข้าวาระการประชุมรัฐสภาได้แล้ว
ใครได้รับผลกระทบ?
NIS 2 ซึ่งนำมาใช้ในเดือนธันวาคม 2022 ได้แก้ไขกฎหมายยุโรปเกี่ยวกับความปลอดภัยทางไซเบอร์ปี 2016 (เรียกว่า “NIS 1”) ซึ่งเกี่ยวข้องกับหน่วยงาน 600 แห่ง กระจายอยู่ในหกภาคส่วน (พลังงาน การเงิน น้ำดื่ม สุขภาพ การขนส่ง และโครงสร้างพื้นฐานดิจิทัล) NIS 2 จะนำไปใช้กับนักแสดงมากขึ้น โดยจะมี "การเปลี่ยนแปลงกระบวนทัศน์" ตามมา
ขณะนี้มีหน่วยงานเกือบ 15,000 แห่งกระจายอยู่ใน 18 ภาคส่วนได้รับผลกระทบ ส่วนขยายนี้อธิบายได้จากบริบทปัจจุบัน แม้ว่าการโจมตีทางไซเบอร์ก่อนหน้านี้จะจำกัดอยู่เพียงเป้าหมายเชิงกลยุทธ์เพียงไม่กี่เป้าหมาย แต่ขณะนี้การโจมตีทางไซเบอร์กำหนดเป้าหมายพื้นที่ที่ใหญ่กว่ามากของเศรษฐกิจและสังคมในทุกทิศทาง โรงพยาบาล กระทรวงต่างๆงานฝรั่งเศส, CAF, le Slip Français, Zadig et Voltaire, SMEs...รายชื่อเหยื่อยังคงเพิ่มขึ้นอย่างต่อเนื่อง-
อ่านเพิ่มเติม:เหตุใดฝรั่งเศสจึงถูกโจมตีทางไซเบอร์อย่างท่วมท้น?
NIS2 จะถูกกำหนดให้โดยหน่วยงานท้องถิ่น ฝ่ายบริหาร บริษัทขนาดกลางและขนาดใหญ่ในภาคพื้นที่ การวิจัย การจัดการขยะ เกษตรอาหาร บริการไปรษณีย์ และซัพพลายเออร์ดิจิทัล – เครือข่ายโซเชียล ตลาด เครื่องมือค้นหาที่เกี่ยวข้องภายใต้เงื่อนไขบางประการ
แอนซี่จัดให้แล้วเว็บไซต์ซึ่งช่วยให้คุณทราบว่าบริษัทของคุณจะต้องปฏิบัติตามหรือไม่ หากบุคคลไม่ได้รับผลกระทบจากกฎหมายนี้ บุคคลเหล่านั้นก็จะเป็นผู้รับผลประโยชน์ทางอ้อม เนื่องจากยิ่งฝ่ายบริหารหรือบริษัทได้รับการคุ้มครองในด้านนี้มากเท่าใด ผู้ใช้หรือลูกค้าก็จะยิ่งเห็นว่าข้อมูลส่วนบุคคลของตนหายไป
คำสั่งดังกล่าวมีภาระผูกพันใหม่อะไรบ้าง?
โดยสรุปแล้ว นักแสดงที่เกี่ยวข้องกับ NIS 2 จะต้องทำอะไร? หากโดยทั่วไปแล้วจะต้องเสริมความแข็งแกร่งให้กับระดับความปลอดภัยทางไซเบอร์ – รวมถึงผู้รับเหมาช่วงด้วย – ทุกอย่างจะขึ้นอยู่กับการจำแนกประเภทในสองหมวดหมู่ที่กำหนดโดยคำสั่ง หากนิติบุคคลที่เกี่ยวข้องคือ “สำคัญ» (EI) จะต้องเคารพข้อกำหนดด้านความปลอดภัยขั้นพื้นฐาน โดยเฉพาะอย่างยิ่งเพื่อจำกัดความเสี่ยงของแรนซัมแวร์
แต่ถ้าเธอเป็นจำเป็น», (EE) จะต้องวางมาตรการรักษาความปลอดภัยทางไซเบอร์ที่สำคัญมากขึ้น ซึ่งเชื่อมโยงกับการกำกับดูแล หรือความสามารถในการป้องกันและความยืดหยุ่น ในบรรดา EE ได้แก่ ผู้ให้บริการโทรคมนาคม ผู้ให้บริการคลาวด์ ตลาดกลาง ศูนย์ข้อมูล เสิร์ชเอ็นจิ้น เครือข่ายโซเชียล ผู้ให้บริการ DNS (ระบบชื่อโดเมน) แต่ยังรวมถึงผู้ดูแลระบบบางรายด้วย
IE และ EE จะต้องให้ข้อมูลแก่ Anssi ปรับใช้มาตรการบริหารความเสี่ยง และประกาศเหตุการณ์ด้านความปลอดภัยในทุกกรณี โปรดทราบว่าการปฏิบัติตามมาตรฐานใหม่เหล่านี้ควรแสดงถึงต้นทุนที่สำคัญสำหรับผู้ที่กังวลเป็นอันดับแรก ตามข้อมูลของ Anssi จะมีค่าใช้จ่ายโดยเฉลี่ยเกือบ 400,000 ยูโร ตามที่อธิบายไว้เมื่อเดือนมีนาคมที่ผ่านมา ในหมายเหตุอธิบายที่ค้นพบโดยผู้แจ้ง- ในกรณีที่ไม่ปฏิบัติตาม หน่วยงานเสี่ยงต่อการถูกปรับจำนวนมากถึง 2% ของมูลค่าการซื้อขายประจำปีทั่วโลก หรือ 10 ล้านยูโร
ธุรกิจและการบริหารจะต้องสมัคร NIS2 เมื่อใด
หากฝรั่งเศสล่าช้าในการเปลี่ยนแปลงคำสั่งวันที่ 14 ธันวาคม 2022 ข้อความของยุโรปจะมีผลตั้งแต่วันศุกร์หน้า แม้ว่าจะไม่มีกฎหมายการขนย้ายก็ตาม โครงการขนย้ายจะได้รับการตรวจสอบอย่างใกล้ชิดในทุกกรณี: กฎหมายการขนย้ายอาจมีความจำเพาะบางประการอันเนื่องมาจากกฎหมายฝรั่งเศสหรือความประสงค์ของผู้บัญญัติกฎหมาย ทั้งนี้ขึ้นอยู่กับพื้นที่สำหรับการซ้อมรบที่กำหนดไว้ในคำสั่ง
แต่ Anssi ได้วางแผนไว้แล้วในบันทึกอธิบายเมื่อเดือนมีนาคมที่ผ่านมาว่ากำหนดเวลาจะเป็น "เหลือให้ผู้ดำเนินการปฏิบัติตาม โดยวันที่ 17 ตุลาคม 2567 ถือเป็นกำหนดเวลาในการบังคับใช้ข้อความกำกับดูแล มิใช่เพื่อนำไปปฏิบัติ- จุดที่เรียกคืนโดย Higher Digital และ Postal Commission ในนั้นความเห็นวันที่ 3 ตุลาคม ในประเด็นการขนย้าย NIS 2-กำหนดเส้นตายการปฏิบัติตามข้อกำหนดคือวันที่ 31 ธันวาคม พ.ศ. 2570-
กล่าวอีกนัยหนึ่ง Anssi จะไม่กำหนดมาตรการคว่ำบาตรในวันศุกร์ Vincent Strubel ซีอีโอของหน่วยงานนี้ เล่าเมื่อเดือนกันยายนที่ผ่านมาระหว่างมหาวิทยาลัยภาคฤดูร้อน Hexatrust (ซึ่งรวบรวมภาคไซเบอร์ของฝรั่งเศส) ว่าจะไม่มีการลงโทษใด ๆ สำหรับการไม่ปฏิบัติตาม NIS 2 ก่อน… 2027
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
