.svg){kind=small}
.svg){kind=small}
.svg){kind=small}
บทนำ: รูปแบบความปลอดภัยทางไซเบอร์ใหม่
คำสั่ง NIS2 ซึ่งมีผลบังคับใช้เมื่อวันที่ 17 มกราคม 2566 (16 ตุลาคมในอิตาลี) ถือเป็นการเปลี่ยนแปลงครั้งใหญ่เมื่อเทียบกับคำสั่ง NIS ฉบับก่อนหน้า กรอบการกำกับดูแลนี้มีเป้าหมายเพื่อสร้างกลยุทธ์ทางไซเบอร์ร่วมกันสำหรับทุกประเทศสมาชิกสหภาพยุโรป โดยมีเป้าหมายหลักคือการเพิ่มระดับความปลอดภัยของบริการดิจิทัลทั่วสหภาพยุโรป
ฤดูกาลบังคับใช้กฎหมาย NIS2 ของยุโรปได้เริ่มต้นขึ้นอย่างเป็นทางการแล้ว ซึ่งถือเป็นการเปลี่ยนแปลงครั้งสำคัญในแนวทางการจัดการความปลอดภัยของข้อมูล
ขณะที่ชื่นชมความพยายามในการสื่อสารของสำนักงานความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (ACN) ซึ่งให้ความสำคัญกับกระบวนการปราบปรามและลงโทษมากกว่าการส่งเสริมการมีส่วนร่วมอย่างแข็งขัน เป็นที่ชัดเจนว่าการนำวัตถุประสงค์ของคำสั่งไปปฏิบัติไม่สามารถแก้ไขได้ด้วยการปฏิบัติตามระบบการจัดการความปลอดภัยอย่างเป็นทางการ ซึ่งโดยทั่วไปเรียกว่า "ความปลอดภัยบนกระดาษ" แต่ต้องพยายามอย่างมากในการกำหนดวัตถุประสงค์ด้านความปลอดภัยที่เป็นรูปธรรมและยั่งยืน
ขยายขอบเขต: ใครมีส่วนเกี่ยวข้องกับ NIS2?
คำสั่ง NIS2 ถือเป็นก้าวสำคัญสู่ความมั่นคงปลอดภัยทางไซเบอร์ที่เข้มแข็งขึ้นและความยืดหยุ่นร่วมกันในระดับยุโรป เมื่อพูดถึงกฎระเบียบและคำสั่ง บริษัทหลายแห่งมองว่าการปฏิบัติตามกฎระเบียบเป็นเป้าหมายสูงสุด ซึ่งต้องบรรลุด้วยการปฏิบัติตามข้อกำหนดขั้นต่ำ อย่างไรก็ตาม คำสั่งนี้ควรเป็นจุดเริ่มต้นสำหรับการบรรลุความมั่นคงปลอดภัยทางไซเบอร์ในระดับที่สูงขึ้น
คำสั่ง NIS2 เป็นผลจากการแก้ไข NIS อย่างละเอียดถี่ถ้วน และถือเป็นอีกก้าวสำคัญในการกำหนดกลยุทธ์ทางไซเบอร์ของยุโรปอย่างสมบูรณ์ โดยจัดทำการตอบสนองที่เหมาะสม ประสานงานกัน และสร้างสรรค์โดยประเทศสมาชิกเพื่อให้แน่ใจว่าบริการดิจิทัลจะมีความต่อเนื่องในกรณีที่เกิดเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย
NIS2 ขยายขอบเขตของ NIS Directive ก่อนหน้านี้อย่างมีนัยสำคัญ ครอบคลุมถึงภาคส่วนที่สำคัญ เช่น การจัดการขยะ การขนส่ง อุตสาหกรรมอาหาร การจัดหาและแจกจ่ายน้ำดื่ม โครงสร้างพื้นฐานดิจิทัล การบริหารสาธารณะ การผลิต การวิจัยและพัฒนายาและอุปกรณ์ทางการแพทย์ และภาคอวกาศ
พระราชกฤษฎีกาฉบับที่ 138/2024 ซึ่งนำคำสั่ง NIS2 มาใช้ในระบบกฎหมายของเรา กำหนดว่าบทบัญญัติจะมีผลใช้บังคับตั้งแต่วันที่ 16 ตุลาคม 2024
กฎระเบียบจะไม่บังคับใช้กับธุรกิจขนาดเล็ก เว้นแต่หน่วยงานนั้นจะถูกระบุว่าเป็น "องค์กรสำคัญ" ภายใต้คำสั่ง ECR เป็นผู้ให้บริการเครือข่ายการสื่อสารอิเล็กทรอนิกส์สาธารณะ เป็นผู้ให้บริการด้านความน่าเชื่อถือ หรืออยู่ในหมวดหมู่เฉพาะอื่นๆ ที่ถือว่าจำเป็น
NIS2 ยังใช้กับบริษัทที่มีพนักงานน้อยกว่า 50 คนด้วย หากบริษัทดังกล่าวให้บริการที่จำเป็นในรัฐสมาชิก หากบริการของบริษัทดังกล่าวมีความสำคัญต่อความปลอดภัยสาธารณะ ความมั่นคง หรือสุขภาพ หรือหากบริษัทดังกล่าวเป็นส่วนหนึ่งของห่วงโซ่อุปทานของบริษัทที่จำเป็นหรือสำคัญ
ประเด็นสำคัญหลักสำหรับธุรกิจ
1. ปัญหาความซับซ้อนและการจำแนกประเภทของแบบจำลองแบบเลเยอร์
ความซับซ้อนในการดำเนินงานนี้สะท้อนให้เห็นในการเลือกออกแบบแบบจำลอง "แบบหลายชั้น" ของสมาชิกสภานิติบัญญัติอิตาลี ชั้นแรกเป็นชั้นมาตรฐาน หมายถึงนิติบุคคลที่จำเป็นหรือสำคัญที่เกินขีดจำกัดขนาดสำหรับธุรกิจขนาดเล็ก ชั้นที่สองประกอบด้วยนิติบุคคลที่ไม่ว่าจะมีขนาดหรือผลประกอบการเท่าใด ก็จัดอยู่ในหมวดหมู่ที่กำหนดไว้อย่างชัดเจน
ปัญหาสำคัญประการหนึ่งเกี่ยวข้องกับการวัดจริงของมิติ เนื่องจากการอ้างอิงถึงแนวคิดเรื่อง "บริษัทที่มีความเชื่อมโยงกัน" ซึ่งในโลกธุรกิจมักไม่มีความชัดเจนในการมองเห็นอย่างแน่นอน
การเชื่อมโยงระหว่างบริษัทสองแห่งหรือมากกว่านั้น ในทางทฤษฎีแล้ว จะไม่ขึ้นอยู่กับความต้องการที่จะจัดตั้งกลุ่มที่เป็นทางการ ซึ่งส่งผลให้ไม่รวมนิติบุคคลที่แม้จะพิจารณาเป็นรายบุคคลแล้ว ก็ยังไม่ถึงขีดจำกัดขนาดที่กฎหมายกำหนด ออกจากหมวดหมู่ของวิสาหกิจขนาดกลางและขนาดย่อม
2. ต้นทุนทางเศรษฐกิจและองค์กร
เมื่อพิจารณาจากกระบวนการในอุดมคติไปสู่แนวทางที่เป็นรูปธรรม ประเด็นนี้ค่อนข้างแตกต่างออกไป เนื่องจากต้องเผชิญกับขนาดเศรษฐกิจของประเทศที่มีโครงสร้างพื้นฐานประกอบด้วยวิสาหกิจขนาดกลางและขนาดย่อมจำนวนมาก นี่จึงเป็นความท้าทายสำคัญในการนำ NIS2 มาใช้ ซึ่ง อาจเป็นภาระหนักเกินไปสำหรับวิสาหกิจขนาดเล็ก
มาตรการลงโทษภายใต้คำสั่ง NIS2 ซึ่งสร้างขึ้นโดยมีวัตถุประสงค์เพื่อปรับปรุงความมั่นคงปลอดภัยทางไซเบอร์ในสหภาพยุโรป ส่วนใหญ่เป็นมาตรการทางปกครองและทางอาญา ผู้ประกอบการรายสำคัญอาจถูกปรับทางปกครองสูงสุด 10 ล้านยูโร หรือ 2% ของมูลค่าการซื้อขายรวมทั่วโลก อย่างไรก็ตาม ผู้ประกอบการรายใหญ่อาจถูกปรับสูงสุด 7 ล้านยูโร หรือ 1.4% ของมูลค่าการซื้อขายรวมทั่วโลก
3. ความรับผิดชอบของฝ่ายบริหาร
พระราชกฤษฎีกาฉบับนี้ได้กำหนดหลักเกณฑ์ที่ชัดเจนไว้ว่า หน่วยงานบริหารและจัดการจะต้องรับผิดชอบ หน่วยงานบริหารของบริษัทจะต้องมีบทบาทเชิงรุกในการปฏิบัติตามกฎหมาย จะต้องอนุมัติวิธีการดำเนินการตามมาตรการจัดการความเสี่ยงด้านความปลอดภัย กำกับดูแลการปฏิบัติตามพันธกรณีที่กำหนดไว้ในกฎหมาย และจะต้องรับผิดชอบต่อการฝ่าฝืนกฎหมาย
4. การรายงานเหตุการณ์และการจัดการความเสี่ยง
พระราชกฤษฎีกาบังคับใช้นี้เพิ่มพูนภาระหน้าที่ในการรายงานเหตุการณ์ โดยกำหนดให้รายงานเหตุการณ์ที่มีผลกระทบอย่างมีนัยสำคัญต่อการให้บริการไปยัง CSIRT อิตาลีโดยไม่ชักช้า กระบวนการรายงานต้องมีกำหนดเวลาที่เข้มงวด ได้แก่ การแจ้งล่วงหน้าภายใน 24 ชั่วโมง การแจ้งภายใน 72 ชั่วโมงหลังเกิดเหตุการณ์ และการรายงานขั้นสุดท้ายภายในหนึ่งเดือนหลังเกิดเหตุการณ์
คำสั่ง NIS2 กำหนดข้อกำหนดสำคัญชุดหนึ่งที่องค์กรต่างๆ ต้องปฏิบัติตามเพื่อให้มั่นใจถึงความปลอดภัยทางไซเบอร์ในระดับสูง ข้อกำหนดเหล่านี้ประกอบด้วย การวิเคราะห์ความเสี่ยงและนโยบายความปลอดภัยของระบบสารสนเทศ กลยุทธ์สำหรับการประเมินประสิทธิภาพของมาตรการจัดการความเสี่ยง แนวปฏิบัติด้านสุขอนามัยดิจิทัลขั้นพื้นฐาน และการฝึกอบรมด้านความปลอดภัยทางไซเบอร์
5. มุ่งเน้นไปที่ห่วงโซ่อุปทาน
ปรากฏว่ากฎหมายที่บังคับใช้ NIS2 Directive นั้นมุ่งเน้นไม่เพียงแต่ภาคส่วนที่ถือว่ามีความสำคัญหรือสำคัญอย่างยิ่งเท่านั้น แต่ยังมุ่งเน้นไปที่ซัพพลายเออร์ของภาคส่วนเหล่านี้ด้วยในลักษณะที่มองการณ์ไกล ซึ่งส่งผลให้จำนวนหน่วยงานที่อาจได้รับผลกระทบจากการใช้พระราชกฤษฎีกาขยายตัวเพิ่มขึ้นอย่างมีนัยสำคัญ
คำสั่ง NIS 2 กำหนดให้หน่วยงานที่มีหน้าที่ต้องนำมาตรการทางเทคนิค ปฏิบัติการ และองค์กรที่เหมาะสมและสมส่วนมาใช้ในการจัดการความเสี่ยงที่มีต่อความปลอดภัยของระบบสารสนเทศและเครือข่าย โดยต้องคำนึงถึงความปลอดภัยของห่วงโซ่อุปทานด้วย รวมถึงด้านความปลอดภัยที่เกี่ยวข้องกับความสัมพันธ์ระหว่างหน่วยงานแต่ละแห่งกับซัพพลายเออร์โดยตรงหรือผู้ให้บริการ
กำหนดเวลาสำคัญที่ต้องปฏิบัติตาม
การแข่งขันเพื่อปฏิบัติตามกฎระเบียบเริ่มต้นขึ้น โดยคาดว่าจะเสร็จสิ้นภายในเดือนตุลาคม 2569 ภายในต้นปี 2568 บริษัทที่ถูกระบุว่าเป็นหน่วยงาน NIS2 จะต้องดำเนินงานตามมาตรการที่จำเป็นทั้งหมด ซึ่งรวมถึงระบบการจัดการความปลอดภัยทางไซเบอร์และความรับผิดชอบของฝ่ายบริหาร ภายในเดือนพฤษภาคม 2568 บริษัทต่างๆ จะต้องอัปเดตข้อมูลบนแพลตฟอร์มของสถาบัน ข้อกำหนดอย่างเป็นทางการสำหรับการแจ้งเตือนเหตุการณ์สำคัญอย่างทันท่วงทีจะมีผลบังคับใช้ในเดือนมกราคม 2569 ขณะที่องค์กรต่างๆ จะต้องนำมาตรการรักษาความปลอดภัยที่จำเป็นทั้งหมดมาใช้ภายในเดือนกันยายน 2569
กฎระเบียบใหม่ว่าด้วยความปลอดภัยเครือข่ายและสารสนเทศ (NIS) มีผลบังคับใช้เมื่อวันที่ 16 ตุลาคม 2567 โดย ACN เป็นหน่วยงาน NIS ที่มีอำนาจหน้าที่และเป็นจุดติดต่อเดียว ตั้งแต่วันที่ 1 ธันวาคม 2567 ถึงวันที่ 28 กุมภาพันธ์ 2568 ธุรกิจขนาดกลางและขนาดใหญ่ รวมถึงธุรกิจขนาดเล็กและขนาดย่อมบางแห่ง และหน่วยงานภาครัฐที่อยู่ภายใต้กฎระเบียบใหม่นี้ จะต้องลงทะเบียนบนพอร์ทัลบริการของ ACN
บทสรุป: การเปลี่ยนแปลงกระบวนทัศน์ที่จำเป็นแต่ท้าทาย
การเชื่อมโยงและการเปลี่ยนผ่านสู่ดิจิทัลที่เพิ่มมากขึ้นของสังคมทำให้สถาบัน ธุรกิจ และประชาชนมีความเสี่ยงต่อภัยคุกคามทางไซเบอร์เพิ่มมากขึ้น
ผู้นำของสำนักงานความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (National Cybersecurity Agency) ได้ให้คำมั่นสัญญาต่อสาธารณชนว่าจะทำให้กระบวนการนี้มีความยั่งยืน ซึ่งอาจเป็นจุดเปลี่ยนสำคัญอย่างแท้จริงในความสามารถของประเทศในการรับมือกับภัยคุกคามที่เพิ่มมากขึ้น จำเป็นต้องรอดูว่าโครงสร้างการผลิตและการบริหารของประเทศจะตอบสนองต่อการเปลี่ยนแปลงทางวัฒนธรรมที่เห็นได้ชัด ซึ่งแน่นอนว่าจะไม่ใช่เรื่องง่ายหรือ “ไม่คุ้มค่า” อย่างแน่นอน
ดังนั้น การปฏิบัติตามมาตรฐาน NIS2 จึงไม่เพียงแต่ช่วยให้บริษัทปฏิบัติตามข้อกำหนดเท่านั้น แต่ยังเป็นโอกาสอันดีในการสร้างวัฒนธรรมความปลอดภัย รวมถึงแนวปฏิบัติที่ดีที่สุดทั้งทางเทคนิคและองค์กร ซึ่งสามารถปรับปรุงความปลอดภัยด้านไอทีได้อย่างมีนัยสำคัญ อย่างไรก็ตาม สิ่งสำคัญคือต้องเริ่มพัฒนาแผนการปฏิบัติตามข้อกำหนดโดยทันที เพื่อค่อยๆ สร้างมาตรฐานให้กับสินทรัพย์และบุคลากรต่างๆ ของบริษัท ผ่านการฝึกอบรมที่เหมาะสมเป็นระยะ
แม้ว่าคุณจะไม่ได้อยู่ในกลุ่มบริษัทที่ต้องปฏิบัติตาม NIS2 Directive แต่การเริ่มโปรแกรมการตระหนักรู้ความเสี่ยงทางไซเบอร์ก็มีความสำคัญต่อการปกป้องอนาคตของธุรกิจของคุณ
ดังนั้น NIS2 จึงเป็นความท้าทายที่ซับซ้อนแต่จำเป็นสำหรับบริษัทอิตาลี แม้ว่าจะมีภาระหน้าที่และความรับผิดชอบใหม่ๆ ที่อาจดูเป็นภาระหนัก แต่ก็เปิดโอกาสให้ทบทวนความปลอดภัยทางไซเบอร์ในฐานะองค์ประกอบเชิงกลยุทธ์ ไม่ใช่เป็นเพียงต้นทุน
