Chỉ thị NIS2: Củng cố an ninh mạng trước tội phạm công nghệ

Năm 2024, tội phạm mạng đã leo thang lên mức cao chưa từng thấy, ảnh hưởng đến các chính phủ và ngành công nghiệp trên toàn cầu, đe dọa an ninh của dữ liệu và cơ sở hạ tầng quan trọng. Báo cáo từ Cybersecurity Ventures dự đoán rằng chi phí cho tội phạm mạng sẽ đạt 10,5 nghìn tỷ USD hàng năm vào năm 2025, tăng đáng kể so với con số 3 nghìn tỷ USD vào năm 2015{{Footnote.A74148}}.

Làn sóng bùng nổ này là do các cuộc tấn công mạng ngày càng phức tạp, các vụ mã độc tống tiền và rò rỉ dữ liệu xảy ra với tần suất và mức độ nghiêm trọng ngày một gia tăng qua từng năm. Theo Báo cáo rủi ro toàn cầu 2023{{Footnote.A74149}} của Diễn đàn Kinh tế Thế giới, các mối đe dọa an ninh mạng nằm trong số những rủi ro lớn nhất toàn cầu, do đó nhấn mạnh yêu cầu phải cấp bách triển khai các giải pháp an ninh mạng toàn diện.

Nhằm đối phó với mối đe dọa đang leo thang ấy, Liên minh Châu Âu đã ban hành Chỉ thị NIS2. Đây là bản cập nhật với nhiều thay đổi lớn so với bản gốc Chỉ thị NIS (Chỉ thị về mạng và hệ thống thông tin) năm 2016, mở rộng phạm vi để áp dụng thêm cho các cơ sở hạ tầng trọng yếu và nhà cung cấp dịch vụ thiết yếu.

Chỉ thị NIS2 hướng tới tăng cường an ninh mạng cho hạ tầng quan trọng trên toàn EU, giúp nâng cao khả năng chống chịu và cung cấp các biện pháp bảo vệ mạnh mẽ hơn trước hành vi vi phạm dữ liệu và phá hoại từ kẻ xấu.

Chuyên gia an ninh David Clarke giải thích những khác biệt chính giữa NIS và NIS2

Phạm vi và đối tượng áp dụng: Chỉ thị NIS ban đầu tập trung chủ yếu vào các đơn vị vận hành dịch vụ thiết yếu và nhà cung cấp dịch vụ số. NIS2 mở rộng phạm vi áp dụng tới các tổ chức vừa và lớn thuộc nhiều lĩnh vực hơn, bao gồm y tế, vận tải, năng lượng, ngân hàng, và chính phủ. Đồng nghĩa rằng sẽ có thêm các tổ chức và cơ quan chính phủ phải tuân thủ những tiêu chuẩn an ninh mạng khắt khe.

Yêu cầu bảo mật: NIS2 đặt ra các yêu cầu bảo mật chi tiết hơn. Các tổ chức buộc phải thực hiện biện pháp quản lý rủi ro, đánh giá bảo mật định kỳ và có sẵn chiến lược ứng phó sự cố. Chỉ thị yêu cầu phải sử dụng mã hóa và kiểm soát quyền truy cập để bảo vệ dữ liệu nhạy cảm.

Báo cáo sự cố: Chỉ thị NIS ban đầu yêu cầu các tổ chức báo cáo sự cố nghiêm trọng, không được chậm trễ. NIS2 thắt chặt quy định này hơn nữa: yêu cầu phải báo cáo các sự cố trong vòng 24 giờ sau khi phát hiện, đảm bảo phản ứng nhanh hơn với các cuộc tấn công và gián đoạn liên quan.

Giám sát và thực thi: NIS2 củng cố vai trò của các cơ quan quốc gia trong việc giám sát và thực thi yêu cầu tuân thủ. Các hình phạt đối với việc không tuân thủ cũng nghiêm khắc hơn, với mức phạt có thể lên tới 10 triệu Euro hoặc 2% tổng doanh thu toàn cầu của công ty, tùy theo mức nào cao hơn.

Bảo mật chuỗi cung ứng: NIS2 nhấn mạnh vai trò quan trọng của việc bảo vệ chuỗi cung ứng thiết yếu, yêu cầu các doanh nghiệp và chính phủ đánh giá và quản lý rủi ro an ninh mạng do các nhà cung cấp và đối tác dịch vụ gây ra.

Ai sẽ bị ảnh hưởng?

NIS2 có phạm vi áp dụng rộng hơn, đồng nghĩa sẽ có nhiều lĩnh vực bị ảnh hưởng hơn. Các lĩnh vực này gồm năng lượng, giao thông, ngân hàng, hạ tầng thị trường tài chính, y tế, cung cấp và phân phối nước uống, hạ tầng kỹ thuật số, chính phủ và hàng không vũ trụ. Doanh nghiệp vừa và lớn trong các lĩnh vực này cần đảm bảo tuân thủ chỉ thị mới, có hiệu lực từ ngày 17 tháng 10 năm 2024.

Các mức phạt và chế tài có thể được áp dụng

Việc không tuân thủ Chỉ thị NIS2 có thể khiến doanh nghiệp phải đối mặt với các khoản phạt lớn. Tổ chức nào không đạt chuẩn hoặc không báo cáo sự cố kịp thời có thể bị phạt lên đến 10 triệu Euro hoặc 2% doanh thu toàn cầu hàng năm. Các chế tài nghiêm khắc này nhấn mạnh tầm quan trọng của việc tuân thủ chỉ thị để tránh các tổn hại về tài chính và uy tín.

Không nằm trong EU?

NIS2 tác động đến cả các tổ chức không có trụ sở trong EU. Nếu tổ chức của bạn hoạt động tại EU hoặc hợp tác với bất kỳ tổ chức nào trong EU, bạn sẽ phải tuân thủ các quy định này và có nguy cơ bị phạt nếu không tuân thủ.