NIS2; rủi ro và cơ hội cho doanh nghiệp

Giới thiệu và tài liệu tham khảo quy định

NIS là từ viết tắt của "Network and Information Security" (An ninh mạng và thông tin).

Với từ viết tắt này, Cộng đồng Châu Âu muốn thể hiện nỗ lực lập pháp nhằm xác định một phương pháp tiếp cận tiêu chuẩn hóa về an ninh mạng tại tất cả các quốc gia thành viên EU.

Năm 2018, quy định đầu tiên của châu Âu mang tên NIS1 (Chỉ thị EU 2016/1148) đã được thông qua; được chuyển đổi ở cấp quốc gia bằng Nghị định lập pháp số 65 ngày 18/05/2018.

Nghị định NIS cũng quy định việc thông qua một 'chiến lược an ninh mạng quốc gia' bằng cách thành lập Đội phản ứng sự cố an ninh máy tính (CSIRT) của Ý với các nhiệm vụ kỹ thuật liên quan đến việc phòng ngừa, ứng phó và giám sát các sự cố mạng, phối hợp với các CSIRT của châu Âu.

NIS1 sau đó đã được thay thế bởi NIS2 (Chỉ thị EU 2022/2555); được chuyển đổi ở cấp quốc gia bằng Nghị định lập pháp 138 ngày 4 tháng 9 năm 2024.

NIS 2 nhằm mục đích khắc phục những hạn chế của NIS 1; vốn trao quá nhiều quyền tự quyết cho các quốc gia thành viên trong quá trình chuyển đổi, dẫn đến việc không đạt được mục tiêu hài hòa hóa; và cũng loại trừ một số loại hình thực thể đáng lẽ phải được điều chỉnh vì tầm quan trọng của chúng đối với thị trường châu Âu.

Hơn nữa, NIS2 được giới thiệu để đáp ứng sự gia tăng tốc độ số hóa diễn ra ở tất cả các quốc gia thành viên và được đẩy nhanh hơn nữa bởi đại dịch; điều này đã mở rộng phạm vi bề mặt cho các cuộc tấn công mạng mà không có sự gia tăng tương ứng về hệ thống an ninh.

Cuối cùng, một mục tiêu khác của NIS2 là buộc các nhà điều hành dịch vụ thiết yếu và quan trọng cũng như các nhà cung cấp dịch vụ kỹ thuật số phải áp dụng các biện pháp an ninh phù hợp và báo cáo kịp thời các sự cố cho các cơ quan có thẩm quyền và người dùng dịch vụ của họ.

Chỉ thị mới này đã được điều chỉnh phù hợp với các quy định ngành cụ thể khác của châu Âu, bao gồm:

- Chỉ thị về Khả năng phục hồi hoạt động kỹ thuật số cho lĩnh vực tài chính (DORA). Đây là Quy định được phê duyệt vào ngày 10/11/2022 với mục đích tăng cường các biện pháp an ninh nhằm đảm bảo khả năng phục hồi và an ninh mạng cho lĩnh vực tài chính thông qua việc thực hiện một loạt các biện pháp an ninh bắt buộc nhằm đảm bảo tính toàn vẹn của thông tin và an ninh mạng của các dịch vụ;

- Chỉ thị về khả năng phục hồi của các thực thể trọng yếu (CER); nhằm đảm bảo tính rõ ràng về mặt pháp lý và tính nhất quán giữa các chỉ thị khác nhau.

Các công ty liên quan đã được chia thành:

• Các thực thể thiết yếu (năng lượng; giao thông vận tải; y tế; cấp nước; hành chính công; tài chính; không gian; cơ sở hạ tầng kỹ thuật số)
• Các thực thể quan trọng (nghiên cứu; hóa chất; thực phẩm; sản xuất công nghiệp; nhà cung cấp dịch vụ kỹ thuật số; dịch vụ bưu chính; xử lý chất thải)
• Các cơ quan công quyền: Chính phủ trung ương (các cơ quan hiến pháp và các cơ quan có liên quan đến hiến pháp; Văn phòng Thủ tướng và các bộ; cơ quan thuế; các cơ quan hành chính độc lập) | Chính quyền khu vực (các vùng và tỉnh tự trị) | Chính quyền địa phương (các thành phố lớn; các đô thị có dân số trên 100.000 người; thủ phủ khu vực; các cơ quan y tế địa phương) | Các thực thể công quyền khác (các cơ quan quản lý kinh tế; các nhà cung cấp dịch vụ kinh tế; các hiệp hội; các nhà cung cấp dịch vụ phúc lợi; giải trí và văn hóa; các cơ quan và viện nghiên cứu; các viện nghiên cứu phòng chống động vật thí nghiệm) | Các loại thực thể khác (các thực thể cung cấp dịch vụ vận tải công cộng địa phương; các cơ sở giáo dục thực hiện hoạt động nghiên cứu; các thực thể thực hiện các hoạt động văn hóa; các công ty nội bộ; các công ty được đầu tư và các công ty do nhà nước kiểm soát)
• Các nhà cung cấp: các tổ chức cung cấp dịch vụ thiết yếu cho các đơn vị bị ảnh hưởng bởi NIS2 phải tăng cường an ninh mạng; ngay cả khi họ được liệt kê rõ ràng trong các lĩnh vực bắt buộc.

Nội dung của NIS2

Các nghĩa vụ chung vốn có trong nội dung của NIS2 có thể được tóm tắt dựa trên bốn trụ cột chính:

Quản trị: Ban quản lý phải phê duyệt các biện pháp quản lý rủi ro được tổ chức áp dụng và đánh giá hiệu quả của chúng theo thời gian: tham gia các khóa đào tạo thường xuyên về các vấn đề an ninh mạng và cung cấp các khóa đào tạo tương tự cho nhân viên.

Quản lý rủi ro: tổ chức phải đánh giá các rủi ro về an ninh và mạng, đồng thời áp dụng các biện pháp kỹ thuật, vận hành và tổ chức phù hợp và tương xứng để ngăn ngừa hoặc giảm thiểu tác động của các sự cố đối với người sử dụng dịch vụ của mình.

Đảm bảo hoạt động kinh doanh liên tục: tổ chức phải áp dụng các giải pháp để đảm bảo hoạt động kinh doanh liên tục (ví dụ: sao lưu dữ liệu; kế hoạch phục hồi sau sự cố và quy trình quản lý khủng hoảng); nhằm mục đích giảm thiểu tác động của bất kỳ sự gián đoạn nào đối với các dịch vụ được cung cấp.

Chuỗi cung ứng: công ty phải đánh giá các điểm yếu của từng nhà cung cấp trực tiếp và chất lượng tổng thể của sản phẩm cũng như các biện pháp an ninh mạng của nhà cung cấp. Việc đánh giá sẽ bao gồm các nhà cung cấp CNTT và các nhà cung cấp quan trọng khác có thể gây gián đoạn dịch vụ mà tổ chức đã được đưa vào phạm vi bảo mật NIS2.

Do đó, các công ty sẽ cần phải có khả năng đo lường và báo cáo về:

• Phân tích rủi ro và chính sách bảo mật hệ thống thông tin
• Quy trình quản lý sự cố
• Các giải pháp đảm bảo hoạt động kinh doanh liên tục (sao lưu và phục hồi sau sự cố) và các quy trình quản lý khủng hoảng và truyền thông.
• Chính sách an ninh chuỗi cung ứng (nhà cung cấp và nhà cung cấp dịch vụ)
• Bảo mật trong việc thu thập, phát triển, bảo trì và quản lý các lỗ hổng hệ thống thông tin và mạng.

Dòng thời gian NIS2

Các công ty và cơ quan hành chính nhà nước sẽ phải tiến hành đánh giá để hiểu xem liệu họ có thuộc phạm vi áp dụng của Chỉ thị NIS2 hay không.

Từ ngày 1 tháng 12 năm 2024 đến ngày 28 tháng 2 năm 2025, các công ty phải xác thực danh tính của mình trên Cổng thông tin ACN (Cơ quan An ninh mạng Quốc gia) bằng thông tin đăng nhập SPID. Trong thời gian này, người dùng được chỉ định là /Dịch vụ đăng ký.

Cụ thể, các công ty được yêu cầu phải:

• Vui lòng cho biết đơn vị này có thuộc một tập đoàn các công ty hay không và cung cấp mã số thuế của công ty mẹ (nếu có).
  
• Liệt kê các công ty liên quan và cung cấp mã số thuế của họ.
  
• Liệt kê các mã ATECO mô tả hoạt động của đơn vị.
• Nêu rõ các quy định ngành liên quan của Liên minh Châu Âu.
• Cung cấp số liệu về doanh thu, bảng cân đối kế toán và số lượng nhân viên để xác định loại hình công ty.
• Liệt kê các loại hình doanh nghiệp mà công ty thuộc về.

Trước ngày 17 tháng 1 năm 2025, các nhà điều hành đăng ký tên miền cấp cao nhất; các nhà cung cấp dịch vụ hệ thống tên miền và đăng ký tên miền; điện toán đám mây; trung tâm dữ liệu; nhà cung cấp mạng phân phối nội dung; nhà cung cấp dịch vụ quản lý; nhà cung cấp dịch vụ bảo mật được quản lý; cũng như các nhà cung cấp thị trường trực tuyến; nhà cung cấp công cụ tìm kiếm trực tuyến và nhà cung cấp nền tảng dịch vụ mạng xã hội phải đăng ký trên nền tảng này.

Tính đến ngày 31 tháng 3 năm 2025, ACN đã lập danh sách các thực thể thiết yếu và quan trọng dựa trên các đăng ký nhận được thông qua nền tảng này.

Từ ngày 1 tháng 4 năm 2025 đến ngày 15 tháng 4 năm 2025, ACN đã thông báo cho các đơn vị liên quan về việc họ có nằm trong danh sách các đơn vị thiết yếu hoặc quan trọng hay không.

Trước ngày 15 tháng 4 năm 2025, các đơn vị nhận được thông báo phải chỉ định, thông qua một văn bản cụ thể, một đơn vị chịu trách nhiệm thực hiện các nghĩa vụ theo nghị định.

Sau đó, các tổ chức chịu ảnh hưởng của Chỉ thị sẽ phải tuân thủ thêm các yêu cầu khác:

• trước ngày 1 tháng 1 năm 2026; nghĩa vụ báo cáo sự cố
• Trước ngày 1 tháng 10 năm 2026, các nghĩa vụ liên quan đến các cơ quan hành chính và các biện pháp an ninh phải được hoàn thành.

Hàng năm, ACN sẽ cập nhật danh sách các tổ chức liên quan. Các công ty và cơ quan hành chính nhà nước sẽ có cơ hội đăng ký hàng năm, từ tháng Giêng đến tháng Hai, nếu họ tự coi mình thuộc nhóm các tổ chức liên quan.

Rủi ro đối với các công ty nhưng cũng là cơ hội.

Sau khi Chỉ thị NIS2 có hiệu lực và các nhà khai thác liên quan được xác định, các cơ quan có thẩm quyền có thể tiến hành giám sát và kiểm tra đột xuất để xác minh việc tuân thủ Chỉ thị. Trong trường hợp không tuân thủ, các công ty liên quan sẽ bị xử phạt.

Các hình phạt rất nghiêm khắc: đối với các công ty lớn, lên đến 10 triệu euro hoặc 2% doanh thu toàn cầu; đối với các doanh nghiệp vừa và nhỏ, lên đến 7 triệu euro hoặc 1,4% doanh thu toàn cầu.

Mặc dù việc tuân thủ các quy định đòi hỏi nỗ lực và đầu tư rõ ràng từ phía các công ty; nhưng cũng cần phải thừa nhận rằng bản thân các quy định này nhằm mục đích cung cấp một giải pháp hiệu quả cho vấn đề tấn công mạng; một vấn đề mà các công ty Ý vẫn rất dễ bị tổn thương và thường có xu hướng che giấu vì lý do hình ảnh. Về mặt kinh tế, thiệt hại trung bình ước tính cho mỗi cuộc tấn công mạng riêng lẻ là hơn 2 triệu euro, bất kể doanh thu của công ty là bao nhiêu.

ERA có thể hỗ trợ quản lý tuân thủ NIS2 như thế nào?

Mặc dù tất cả những điều trên có thể cho thấy các công ty rất quan tâm và tham gia vào các vấn đề an ninh mạng; nhưng không hiếm gặp, đặc biệt là ở các doanh nghiệp vừa và nhỏ, khi thấy các công ty hầu như không làm gì về những vấn đề này và hiện không thể xác định được vị trí của mình về các rủi ro mà họ phải đối mặt, cả về mặt kỹ thuật lẫn việc tuân thủ các quy định hiện hành.

Một số công ty giải quyết vấn đề an ninh mạng thông qua bảo hiểm. Tuy nhiên, các công ty bảo hiểm thường ngần ngại cung cấp loại hình bảo vệ này cho những công ty chưa từng có hành động cụ thể nào trong lĩnh vực an ninh mạng. Điều này là do không có phương pháp đáng tin cậy nào để ước tính chính xác thiệt hại do một cuộc tấn công mạng gây ra. Kết quả là, các gói dịch vụ 'NIS2' tập trung vào dịch vụ đánh giá rủi ro mạng, nhưng lại để các công ty tự thực hiện các biện pháp cần thiết để khắc phục mọi thiếu sót. ERA có thể cung cấp dịch vụ toàn diện hơn, dựa trên mạng lưới các nhà cung cấp có trình độ cao với các điều khoản thương mại rất cạnh tranh.

Cụ thể hơn, sự hỗ trợ của ERA bao gồm:

• Đánh giá cấu trúc tổ chức và kỹ thuật của công ty; với sự hỗ trợ của các bảng câu hỏi tự đánh giá sử dụng các chỉ số được xác định trước;
• Các khóa đào tạo và nâng cao nhận thức; bao gồm các khóa học cơ bản cho toàn thể nhân viên và các mô-đun nâng cao dành cho quản lý cấp cao và cấp trung; phù hợp với hướng dẫn của NIS2;
• Các bài kiểm tra chuyên sâu và có trình độ cao về phân tích lỗ hổng bảo mật; xử lý tấn công lừa đảo qua email (phishing) và đánh giá rủi ro mã độc tống tiền (ransomware);
• Hỗ trợ từ các chuyên gia tư vấn tận tâm trong giai đoạn khắc phục hậu quả sau khi đánh giá;
• Hỗ trợ chuyên biệt từ các chuyên gia tư vấn tận tâm để hướng dẫn các quyết định chiến lược trong lĩnh vực an ninh mạng.

Giải pháp của chúng tôi bao gồm phân tích sự tuân thủ các quy định NIS2; đây chắc chắn là mối quan tâm cấp bách nhất; nhưng chúng tôi cũng có thể hỗ trợ khách hàng trong việc quản lý dự án ở giai đoạn khắc phục; tức là giai đoạn mà khách hàng phải khắc phục các "lỗi" khác nhau được xác định trong quá trình chẩn đoán; và đây là giai đoạn mà những khó khăn của một số công ty thể hiện rõ nhất; cả về kỹ năng nội bộ lẫn thời gian và nguồn lực sẵn có.