अधिकांश यूरोपीय संघ के देश नए साइबर सुरक्षा नियमों को पूरा करने की समय सीमा से चूक गए

एनआईएस 2 – या नेटवर्क और सूचना सुरक्षा निर्देश 2 – एक ईयू निर्देश है जिसका उद्देश्य पूरे ब्लॉक में आईटी सिस्टम और नेटवर्क की सुरक्षा बढ़ाना है। पहली बार 2020 में प्रस्तावित, कानून पहले के निर्देश के अद्यतन के रूप में कार्य करता है जिसे केवल एनआईएस कहा जाता है।

एनआईएस 2 ने हालिया साइबर सुरक्षा चुनौतियों और खतरों से निपटने के लिए अपने पूर्ववर्ती के दायरे का विस्तार किया है, क्योंकि अपराधियों ने कंपनियों को हैक करने और उनके संवेदनशील डेटा से समझौता करने के नए तरीके ढूंढ लिए हैं।

यह निर्देश उन संगठनों पर लागू होता है जो यूरोपीय संघ के भीतर काम करते हैं और उपभोक्ताओं को आवश्यक सेवाएं प्रदान करते हैं, जिनमें बैंक, ऊर्जा आपूर्तिकर्ता, स्वास्थ्य देखभाल संस्थान, इंटरनेट प्रदाता, परिवहन फर्म और अपशिष्ट प्रोसेसर शामिल हैं।

नए विनियमन के तहत व्यवसायों के पास साइबर कमजोरियों और हैक पर जानकारी रिपोर्ट करने और अन्य कंपनियों के साथ साझा करने का “देखभाल का कर्तव्य” होगा – भले ही इसका मतलब साइबर उल्लंघन का शिकार होने की जिम्मेदारी लेना हो।

यदि कोई व्यवसाय साइबर उल्लंघन का शिकार हो जाता है, तो उनके पास अधिकारियों को प्रारंभिक चेतावनी अधिसूचना प्रस्तुत करने के लिए 24 घंटे का समय होगा – सामान्य डेटा संरक्षण विनियमन के तहत डेटा उल्लंघन के बारे में कंपनियों को अधिकारियों को सूचित करने के लिए 72 घंटे की विंडो की तुलना में एक सख्त समयरेखा। EU में एक अलग डेटा गोपनीयता कानून।

कंपनियों को साइबर खतरों और कमजोरियों के लिए अपने प्रौद्योगिकी विक्रेताओं की एक-एक करके जांच भी करनी होगी।

फ़्लैडगेट के राइट ने कहा कि एक विनियमन के रूप में एनआईएस 2 की प्रभावशीलता काफी हद तक यूरोपीय संघ के सदस्य देशों में लगातार कार्यान्वयन और प्रवर्तन पर निर्भर करेगी।

उन्होंने सीएनबीसी को बताया, “बुरे अभिनेता अपने एनआईएस2 ट्रांसपोज़िशन में पिछड़ रहे देशों को निशाना बना सकते हैं या बड़े, बेहतर संरक्षित संगठनों तक पहुंच हासिल करने के लिए छोटे, कम-सुरक्षित विक्रेताओं और आपूर्तिकर्ताओं को लक्षित करके आपूर्ति श्रृंखलाओं में कमजोरियों की तलाश कर सकते हैं।”

व्यवसाय गुरुवार की समय सीमा से पहले वर्षों से साइबर सुरक्षा के आसपास अपनी आंतरिक प्रक्रियाओं, नियंत्रणों और व्यापक संस्कृति को आकार देने के लिए काम कर रहे हैं।

एंटरप्राइज़ टेक फर्म सिस्को के ईयू सार्वजनिक नीति प्रमुख क्रिस गो ने कहा कि एनआईएस 2 के कार्यान्वयन की अस्पष्ट प्रकृति भी “कानून के स्थानीय अनुकूलन द्वारा बढ़ा दी गई है।”

यह, बदले में, “विसंगतियां पैदा कर रहा है जिससे निपटना मुश्किल साबित हो सकता है, खासकर सीमित संसाधनों वाले छोटे संगठनों के लिए,” गो ने ईमेल टिप्पणियों में सीएनबीसी को बताया।

उन्होंने सिफारिश की कि, एनआईएस 2 के स्थानीय अनुकूलन में विसंगतियों से “अभिभूत” होने के बजाय, संगठनों को “सुरक्षा नियंत्रण और प्रक्रियाओं के एक सामान्य मूल की पहचान करनी चाहिए जो उन्हें पूरा करने और बड़े पैमाने पर अनुपालन प्रदर्शित करने के लिए अच्छी स्थिति में खड़े हों।”

परिवहन, वित्त और जल कंपनियों जैसी “आवश्यक” संस्थाओं के लिए, एनआईएस 2 का अनुपालन करने में विफलता पर 10 मिलियन यूरो ($ 10.9 मिलियन) या वैश्विक वार्षिक राजस्व का 2% – जो भी अधिक हो, का जुर्माना हो सकता है।

इस बीच, “महत्वपूर्ण” व्यवसाय – जैसे कि खाद्य कंपनियां, रसायन फर्म और अपशिष्ट प्रबंधन सेवाएं – उल्लंघनों के लिए 7 मिलियन यूरो या उनके वैश्विक वार्षिक राजस्व का 1.4% तक का जुर्माना लगा रहे हैं।

यदि कंपनियां एनआईएस 2 का अनुपालन करने में विफल रहती हैं, तो उन्हें सेवा के संभावित निलंबन के साथ-साथ कड़ी निगरानी का भी सामना करना पड़ सकता है।

“एनआईएस 2 यह स्पष्ट करता है – बड़े जुर्माने, सेवा के संभावित निलंबन और अनुपालन की निगरानी का उपयोग महत्वपूर्ण सेवाओं के लिए जिम्मेदार संगठनों को साइबर सुरक्षा खतरों और उन पर उनकी प्रतिक्रिया पर ध्यान देने के लिए प्रोत्साहित करने के लिए लीवर के रूप में किया जा रहा है,” कार्ल लियोनार्ड, ईएमईए साइबर सुरक्षा रणनीतिकार प्रूफपॉइंट, सीएनबीसी को बताया।

लियोनार्ड ने कहा, “घटना प्रबंधन, स्टाफ प्रशिक्षण, नेतृत्व जवाबदेही और कई अन्य सहित जोखिम-प्रबंधन और शमन उपायों के संदर्भ में एक आधार रेखा निर्धारित की गई है।”