NIS2 و قانون Cyber Resilience Act؛ هر آنچه اپراتورهای اینترنت اشیاء باید قبل از مهلتهای قانونی بدانند
امنیت سایبری دیگر فقط یک دغدغه فنی نیست؛ بلکه به یکی از مهمترین الزامات قانونی برای تولیدکنندگان و بهرهبرداران تجهیزات متصل به شبکه تبدیل شده است. اتحادیه اروپا با تصویب دو قانون مهم NIS2 و Cyber Resilience Act (CRA)، استانداردهای جدیدی را برای امنیت تجهیزات دیجیتال و اینترنت اشیاء تعیین کرده است.
اگر سازمان شما در زمینه طراحی، تولید یا بهرهبرداری از تجهیزات اینترنت اشیاء (IoT) فعالیت میکند، این قوانین میتوانند مستقیماً بر محصولات، فرآیندها و حتی مسئولیت مدیران ارشد تأثیر بگذارند.
در این مقاله با مهمترین الزامات این دو قانون، مهلتهای اجرایی و اقداماتی که باید از همین امروز انجام دهید آشنا میشویم.
NIS2 چیست؟
NIS2 (Network and Information Security Directive 2) نسخه جدید دستورالعمل امنیت شبکه و سامانههای اطلاعاتی اتحادیه اروپاست که با هدف افزایش تابآوری سایبری زیرساختهای حیاتی تدوین شده است.
این قانون سازمانهای فعال در ۱۸ حوزه مهم از جمله:
- انرژی
- آب و فاضلاب
- صنایع تولیدی
- حملونقل
- سلامت
- زیرساختهای دیجیتال
- مخابرات
را ملزم میکند اقدامات مشخصی برای مدیریت ریسکهای امنیت سایبری انجام دهند.
یکی از مهمترین ویژگیهای NIS2 این است که مسئولیت امنیت سایبری را از سطح تیم فناوری اطلاعات به سطح هیئتمدیره منتقل میکند.
Cyber Resilience Act چیست؟
در حالی که NIS2 بر نحوه بهرهبرداری از تجهیزات تمرکز دارد، قانون Cyber Resilience Act (CRA) مستقیماً تولیدکنندگان محصولات دیجیتال را هدف قرار میدهد.
هر محصولی که بتواند به اینترنت یا سایر شبکهها متصل شود، مشمول این قانون است؛ از جمله:
- سنسورهای اینترنت اشیاء
- کنترلرها
- گیتویها
- روترها
- تجهیزات هوشمند صنعتی
- نرمافزارهای مرتبط
هدف اصلی CRA این است که امنیت سایبری از همان ابتدای طراحی محصول در نظر گرفته شود و در تمام طول عمر محصول نیز حفظ شود.
مهمترین تاریخهایی که باید بدانید
بسیاری از شرکتها تصور میکنند تا پایان سال ۲۰۲۷ فرصت دارند؛ اما واقعیت متفاوت است.
۱۰ دسامبر ۲۰۲۴
قانون Cyber Resilience Act بهطور رسمی لازمالاجرا شد.
۱۱ سپتامبر ۲۰۲۶
تولیدکنندگان موظف هستند آسیبپذیریهای مهم و رخدادهای امنیتی را حداکثر ظرف ۲۴ ساعت گزارش کنند.
نکته مهم اینکه این الزام فقط محصولات جدید را شامل نمیشود؛ بلکه محصولاتی که هماکنون در بازار نصب شدهاند نیز مشمول آن هستند.
۱۱ دسامبر ۲۰۲۷
تمام الزامات CRA از جمله ارزیابی انطباق و دریافت نشان CE الزامی خواهد شد.
الزامات اصلی NIS2
در ماده ۲۱ این دستورالعمل، حداقل ده اقدام امنیتی مشخص شده است که مهمترین آنها عبارتاند از:
- مدیریت ریسک
- پاسخگویی به رخدادهای امنیتی
- برنامه تداوم کسبوکار
- امنیت زنجیره تأمین
- کنترل دسترسی کاربران
- رمزنگاری اطلاعات
- احراز هویت چندمرحلهای
- پایش مداوم امنیت
نکته مهم این است که قانون، محصول خاصی را معرفی نمیکند؛ بلکه نتیجه مورد انتظار را مشخص میکند.
زمانبندی گزارش رخدادهای امنیتی
در صورت وقوع یک حادثه امنیتی مهم، سازمان باید:
- ظرف ۲۴ ساعت هشدار اولیه ارسال کند.
- ظرف ۷۲ ساعت گزارش تکمیلی ارائه دهد.
- حداکثر طی یک ماه گزارش نهایی را ارسال کند.
این زمانبندی تنها زمانی امکانپذیر است که سازمان بتواند رخداد را در همان ساعات اولیه شناسایی کند.
مسئولیت مدیران ارشد
یکی از مهمترین تغییرات NIS2 این است که مسئولیت امنیت سایبری فقط بر عهده مدیر فناوری اطلاعات یا تیم امنیت نیست.
بر اساس ماده ۲۰، هیئتمدیره و مدیران ارشد مسئول تأیید، نظارت و پاسخگویی در زمینه مدیریت ریسکهای سایبری هستند.
جرایم این قانون میتواند تا:
- ۱۰ میلیون یورو
- یا ۲ درصد گردش مالی جهانی شرکت
باشد.
Cyber Resilience Act چه الزاماتی برای تولیدکنندگان ایجاد میکند؟
CRA تولیدکنندگان را موظف میکند که:
- محصولات را از ابتدا با رویکرد Secure by Design طراحی کنند.
- محصولات فاقد آسیبپذیریهای شناختهشده باشند.
- در تمام دوره پشتیبانی، بهروزرسانیهای امنیتی ارائه شود.
- فرآیندی مشخص برای دریافت، بررسی و رفع آسیبپذیریها وجود داشته باشد.
- آسیبپذیریهای بحرانی و رخدادهای امنیتی را ظرف ۲۴ ساعت به ENISA و مراجع ذیصلاح گزارش دهند.
جرایم این قانون نیز میتواند تا:
- ۱۵ میلیون یورو
- یا ۲٫۵ درصد گردش مالی جهانی شرکت
افزایش یابد.
چرا VPN یا Private APN دیگر کافی نیست؟
در بسیاری از پروژههای اینترنت اشیاء هنوز از VPN یا Private APN برای حفاظت از ارتباطات استفاده میشود.
اگرچه این راهکارها ارتباط را از اینترنت عمومی جدا میکنند، اما نمیتوانند الزامات جدید اتحادیه اروپا را بهطور کامل پوشش دهند.
برای مثال، این روشها:
- تجهیزات را از یکدیگر تفکیک نمیکنند.
- مشخص نمیکنند هر دستگاه با چه مقصدی ارتباط برقرار کرده است.
- دسترسی پیمانکاران را کنترل نمیکنند.
- سوابق لازم برای ممیزی قانونی را تولید نمیکنند.
در نتیجه، سازمان تنها اتصال دارد، اما دید، کنترل و مستندات کافی در اختیار ندارد.
Zero Trust؛ رویکرد پیشنهادی قوانین جدید
مدل امنیتی که NIS2 و CRA به سمت آن حرکت میکنند، معماری Zero Trust است.
در این مدل:
- دسترسیها بر اساس هویت تعریف میشوند.
- هر دستگاه فقط به همان سرویسی دسترسی دارد که مجاز به استفاده از آن است.
- تجهیزات از یکدیگر تفکیک میشوند.
- ارتباطات بهصورت لحظهای پایش میشوند.
- دسترسی پیمانکاران محدود، ثبت و کنترل میشود.
- تمامی فعالیتها ثبت و قابل ممیزی هستند.
پیش از فرا رسیدن مهلتهای قانونی چه اقداماتی انجام دهیم؟
اگر سازمان شما از تجهیزات اینترنت اشیاء استفاده میکند یا آنها را تولید میکند، بهتر است همین امروز اقدامات زیر را آغاز کنید:
۱. فهرست تجهیزات متصل را تهیه کنید.
مشخص کنید کدام تجهیزات مشمول NIS2، CRA یا هر دو قانون هستند.
۲. تحلیل شکاف (Gap Analysis) انجام دهید.
بررسی کنید کدام الزامات را رعایت کردهاید و در کدام بخشها هنوز ضعف وجود دارد.
۳. سامانه تشخیص رخداد را تقویت کنید.
اگر حملهای را چند روز بعد متوجه شوید، رعایت مهلت ۲۴ ساعته گزارشدهی ممکن نخواهد بود.
۴. مهلت سپتامبر ۲۰۲۶ را جدی بگیرید.
این تاریخ از نظر بسیاری از شرکتها نادیده گرفته شده، در حالی که مهمترین الزام قانونی از همین زمان آغاز میشود.
۵. هیئتمدیره را درگیر موضوع کنید.
مطابق NIS2، مسئولیت نهایی امنیت سایبری بر عهده مدیران ارشد است، نه صرفاً تیم امنیت اطلاعات.
جمعبندی
قوانین NIS2 و Cyber Resilience Act نشان میدهند که امنیت سایبری دیگر تنها یک قابلیت اختیاری نیست؛ بلکه بخشی جداییناپذیر از طراحی، تولید و بهرهبرداری تجهیزات اینترنت اشیاء محسوب میشود.
سازمانهایی که از امروز برای مدیریت ریسک، پایش تجهیزات، کنترل دسترسی، مستندسازی و بهروزرسانی امنیتی برنامهریزی کنند، نهتنها راحتتر با این قوانین منطبق خواهند شد، بلکه زیرساختی ایمنتر، پایدارتر و قابل اعتمادتر برای محصولات و خدمات خود ایجاد خواهند کرد.


بدون دیدگاه