Nis2 cyber resilience act iot

NIS2 و قانون Cyber Resilience Act؛ هر آنچه اپراتورهای اینترنت اشیاء باید قبل از مهلت‌های قانونی بدانند

امنیت سایبری دیگر فقط یک دغدغه فنی نیست؛ بلکه به یکی از مهم‌ترین الزامات قانونی برای تولیدکنندگان و بهره‌برداران تجهیزات متصل به شبکه تبدیل شده است. اتحادیه اروپا با تصویب دو قانون مهم NIS2 و Cyber Resilience Act (CRA)، استانداردهای جدیدی را برای امنیت تجهیزات دیجیتال و اینترنت اشیاء تعیین کرده است.

اگر سازمان شما در زمینه طراحی، تولید یا بهره‌برداری از تجهیزات اینترنت اشیاء (IoT) فعالیت می‌کند، این قوانین می‌توانند مستقیماً بر محصولات، فرآیندها و حتی مسئولیت مدیران ارشد تأثیر بگذارند.

در این مقاله با مهم‌ترین الزامات این دو قانون، مهلت‌های اجرایی و اقداماتی که باید از همین امروز انجام دهید آشنا می‌شویم.


NIS2 چیست؟

NIS2 (Network and Information Security Directive 2) نسخه جدید دستورالعمل امنیت شبکه و سامانه‌های اطلاعاتی اتحادیه اروپاست که با هدف افزایش تاب‌آوری سایبری زیرساخت‌های حیاتی تدوین شده است.

این قانون سازمان‌های فعال در ۱۸ حوزه مهم از جمله:

  • انرژی
  • آب و فاضلاب
  • صنایع تولیدی
  • حمل‌ونقل
  • سلامت
  • زیرساخت‌های دیجیتال
  • مخابرات

را ملزم می‌کند اقدامات مشخصی برای مدیریت ریسک‌های امنیت سایبری انجام دهند.

یکی از مهم‌ترین ویژگی‌های NIS2 این است که مسئولیت امنیت سایبری را از سطح تیم فناوری اطلاعات به سطح هیئت‌مدیره منتقل می‌کند.


Cyber Resilience Act چیست؟

در حالی که NIS2 بر نحوه بهره‌برداری از تجهیزات تمرکز دارد، قانون Cyber Resilience Act (CRA) مستقیماً تولیدکنندگان محصولات دیجیتال را هدف قرار می‌دهد.

هر محصولی که بتواند به اینترنت یا سایر شبکه‌ها متصل شود، مشمول این قانون است؛ از جمله:

  • سنسورهای اینترنت اشیاء
  • کنترلرها
  • گیت‌وی‌ها
  • روترها
  • تجهیزات هوشمند صنعتی
  • نرم‌افزارهای مرتبط

هدف اصلی CRA این است که امنیت سایبری از همان ابتدای طراحی محصول در نظر گرفته شود و در تمام طول عمر محصول نیز حفظ شود.


مهم‌ترین تاریخ‌هایی که باید بدانید

بسیاری از شرکت‌ها تصور می‌کنند تا پایان سال ۲۰۲۷ فرصت دارند؛ اما واقعیت متفاوت است.

۱۰ دسامبر ۲۰۲۴

قانون Cyber Resilience Act به‌طور رسمی لازم‌الاجرا شد.

۱۱ سپتامبر ۲۰۲۶

تولیدکنندگان موظف هستند آسیب‌پذیری‌های مهم و رخدادهای امنیتی را حداکثر ظرف ۲۴ ساعت گزارش کنند.

نکته مهم اینکه این الزام فقط محصولات جدید را شامل نمی‌شود؛ بلکه محصولاتی که هم‌اکنون در بازار نصب شده‌اند نیز مشمول آن هستند.

۱۱ دسامبر ۲۰۲۷

تمام الزامات CRA از جمله ارزیابی انطباق و دریافت نشان CE الزامی خواهد شد.


الزامات اصلی NIS2

در ماده ۲۱ این دستورالعمل، حداقل ده اقدام امنیتی مشخص شده است که مهم‌ترین آن‌ها عبارت‌اند از:

  • مدیریت ریسک
  • پاسخ‌گویی به رخدادهای امنیتی
  • برنامه تداوم کسب‌وکار
  • امنیت زنجیره تأمین
  • کنترل دسترسی کاربران
  • رمزنگاری اطلاعات
  • احراز هویت چندمرحله‌ای
  • پایش مداوم امنیت

نکته مهم این است که قانون، محصول خاصی را معرفی نمی‌کند؛ بلکه نتیجه مورد انتظار را مشخص می‌کند.


زمان‌بندی گزارش رخدادهای امنیتی

در صورت وقوع یک حادثه امنیتی مهم، سازمان باید:

  • ظرف ۲۴ ساعت هشدار اولیه ارسال کند.
  • ظرف ۷۲ ساعت گزارش تکمیلی ارائه دهد.
  • حداکثر طی یک ماه گزارش نهایی را ارسال کند.

این زمان‌بندی تنها زمانی امکان‌پذیر است که سازمان بتواند رخداد را در همان ساعات اولیه شناسایی کند.


مسئولیت مدیران ارشد

یکی از مهم‌ترین تغییرات NIS2 این است که مسئولیت امنیت سایبری فقط بر عهده مدیر فناوری اطلاعات یا تیم امنیت نیست.

بر اساس ماده ۲۰، هیئت‌مدیره و مدیران ارشد مسئول تأیید، نظارت و پاسخ‌گویی در زمینه مدیریت ریسک‌های سایبری هستند.

جرایم این قانون می‌تواند تا:

  • ۱۰ میلیون یورو
  • یا ۲ درصد گردش مالی جهانی شرکت

باشد.


Cyber Resilience Act چه الزاماتی برای تولیدکنندگان ایجاد می‌کند؟

CRA تولیدکنندگان را موظف می‌کند که:

  • محصولات را از ابتدا با رویکرد Secure by Design طراحی کنند.
  • محصولات فاقد آسیب‌پذیری‌های شناخته‌شده باشند.
  • در تمام دوره پشتیبانی، به‌روزرسانی‌های امنیتی ارائه شود.
  • فرآیندی مشخص برای دریافت، بررسی و رفع آسیب‌پذیری‌ها وجود داشته باشد.
  • آسیب‌پذیری‌های بحرانی و رخدادهای امنیتی را ظرف ۲۴ ساعت به ENISA و مراجع ذی‌صلاح گزارش دهند.

جرایم این قانون نیز می‌تواند تا:

  • ۱۵ میلیون یورو
  • یا ۲٫۵ درصد گردش مالی جهانی شرکت

افزایش یابد.


چرا VPN یا Private APN دیگر کافی نیست؟

در بسیاری از پروژه‌های اینترنت اشیاء هنوز از VPN یا Private APN برای حفاظت از ارتباطات استفاده می‌شود.

اگرچه این راهکارها ارتباط را از اینترنت عمومی جدا می‌کنند، اما نمی‌توانند الزامات جدید اتحادیه اروپا را به‌طور کامل پوشش دهند.

برای مثال، این روش‌ها:

  • تجهیزات را از یکدیگر تفکیک نمی‌کنند.
  • مشخص نمی‌کنند هر دستگاه با چه مقصدی ارتباط برقرار کرده است.
  • دسترسی پیمانکاران را کنترل نمی‌کنند.
  • سوابق لازم برای ممیزی قانونی را تولید نمی‌کنند.

در نتیجه، سازمان تنها اتصال دارد، اما دید، کنترل و مستندات کافی در اختیار ندارد.


Zero Trust؛ رویکرد پیشنهادی قوانین جدید

مدل امنیتی که NIS2 و CRA به سمت آن حرکت می‌کنند، معماری Zero Trust است.

در این مدل:

  • دسترسی‌ها بر اساس هویت تعریف می‌شوند.
  • هر دستگاه فقط به همان سرویسی دسترسی دارد که مجاز به استفاده از آن است.
  • تجهیزات از یکدیگر تفکیک می‌شوند.
  • ارتباطات به‌صورت لحظه‌ای پایش می‌شوند.
  • دسترسی پیمانکاران محدود، ثبت و کنترل می‌شود.
  • تمامی فعالیت‌ها ثبت و قابل ممیزی هستند.

پیش از فرا رسیدن مهلت‌های قانونی چه اقداماتی انجام دهیم؟

اگر سازمان شما از تجهیزات اینترنت اشیاء استفاده می‌کند یا آن‌ها را تولید می‌کند، بهتر است همین امروز اقدامات زیر را آغاز کنید:

۱. فهرست تجهیزات متصل را تهیه کنید.
مشخص کنید کدام تجهیزات مشمول NIS2، CRA یا هر دو قانون هستند.

۲. تحلیل شکاف (Gap Analysis) انجام دهید.
بررسی کنید کدام الزامات را رعایت کرده‌اید و در کدام بخش‌ها هنوز ضعف وجود دارد.

۳. سامانه تشخیص رخداد را تقویت کنید.
اگر حمله‌ای را چند روز بعد متوجه شوید، رعایت مهلت ۲۴ ساعته گزارش‌دهی ممکن نخواهد بود.

۴. مهلت سپتامبر ۲۰۲۶ را جدی بگیرید.
این تاریخ از نظر بسیاری از شرکت‌ها نادیده گرفته شده، در حالی که مهم‌ترین الزام قانونی از همین زمان آغاز می‌شود.

۵. هیئت‌مدیره را درگیر موضوع کنید.
مطابق NIS2، مسئولیت نهایی امنیت سایبری بر عهده مدیران ارشد است، نه صرفاً تیم امنیت اطلاعات.


جمع‌بندی

قوانین NIS2 و Cyber Resilience Act نشان می‌دهند که امنیت سایبری دیگر تنها یک قابلیت اختیاری نیست؛ بلکه بخشی جدایی‌ناپذیر از طراحی، تولید و بهره‌برداری تجهیزات اینترنت اشیاء محسوب می‌شود.

سازمان‌هایی که از امروز برای مدیریت ریسک، پایش تجهیزات، کنترل دسترسی، مستندسازی و به‌روزرسانی امنیتی برنامه‌ریزی کنند، نه‌تنها راحت‌تر با این قوانین منطبق خواهند شد، بلکه زیرساختی ایمن‌تر، پایدارتر و قابل اعتمادتر برای محصولات و خدمات خود ایجاد خواهند کرد.

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *