คำสั่ง NIS2: ยกระดับการรักษาความปลอดภัยเพื่อต่อสู้กับอาชญากรรมทางไซเบอร์

ในปี 2024 อัตราการเกิดอาชญากรรมทางไซเบอร์พุ่งสูงเป็นประวัติการณ์ ส่งผลกระทบต่อรัฐบาลและอุตสาหกรรมต่าง ๆ ทั่วโลก และเป็นภัยคุกคามความปลอดภัยของข้อมูลและโครงสร้างพื้นฐานที่มีความสำคัญ รายงานของ Cybersecurity Venture ระบุว่าค่าใช้จ่ายด้านอาชญากรรมทางไซเบอร์คาดว่าจะสูงถึง 10.5 ล้านล้านดอลลาร์สหรัฐต่อปีภายในปี 2025 เพิ่มขึ้นจากเดิม 3 ล้านล้านเหรียญสหรัฐในปี 2015{{Footnote.A74148}}

ตัวเลขที่เพิ่มขึ้นมานี้เป็นผลจากการโจมตีทางไซเบอร์ที่มีความซับซ้อนมากขึ้น ตลอดจนแรนซัมแวร์ และการละเมิดข้อมูล ซึ่งมีความถี่และความรุนแรงสูงขึ้นเรื่อย ๆ ในแต่ละปี สภาเศรษฐกิจโลก (World Economic Forum: WEF) เผยแพร่รายงานความเสี่ยงโลกประจำปี 2023{{Footnote.A74149}} โดยระบุว่าภัยคุกคามทางไซเบอร์เป็นหนึ่งในความเสี่ยงอันดับต้น ๆ ของโลก พร้อมทั้งเน้นย้ำถึงความจำเป็นอย่างเร่งด่วนในการใช้มาตรการรักษาความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพ

ในการต่อสู้กับภัยคุกคามที่ทวีความรุนแรงขึ้นเรื่อย ๆ เหล่านี้ สหภาพยุโรปจึงออกคำสั่ง NIS2 ซึ่งเป็นการปรับปรุงแก้ไขคำสั่ง NIS (Network and Information Systems Directive) ฉบับเดิมที่ออกในปี 2016 โดยขยายขอบเขตกว้างกว่าเดิมและครอบคลุมโครงสร้างพื้นฐานและผู้ให้บริการที่มีความสำคัญ คำสั่ง NIS2 มีจุดมุ่งหมายเพื่อยกระดับการรักษาความปลอดภัยทางไซเบอร์ให้กับโครงสร้างพื้นฐานสำคัญทั่วทั้งสหภาพยุโรป ซึ่งจะช่วยป้องกันละเมิดข้อมูลและการดำเนินงานหยุดชะงักที่เกิดจากบุคคลมุ่งร้ายได้อย่างมีประสิทธิภาพและรัดกุมยิ่งขึ้น

ผู้เชี่ยวชาญด้านการรักษาความปลอดภัย David Clarke อธิบายข้อแตกต่างหลัก ๆ ระหว่าง NIS กับ NIS2

ขอบเขตและความครอบคลุม: คำสั่ง NIS ของเดิมให้ความสำคัญกับผู้ให้บริการที่มีความสำคัญและผู้ให้บริการดิจิทัลเป็นหลัก แต่ NIS2 ขยายขอบเขตให้ครอบคลุมองค์กรขนาดกลางและขนาดใหญ่ในหลายภาคธุรกิจ ตั้งแต่การรักษาพยาบาล การคมนาคมขนส่ง พลังงาน การธนาคาร และรัฐบาล ดังนั้น องค์กรและหน่วยงานของรัฐจำนวนมากขึ้นจะต้องปฏิบัติตามมาตรฐานการรักษาความปลอดภัยทางไซเบอร์ที่เข้มงวดนี้

การรักษาความปลอดภัยซัพพลายเชน: NIS2 เน้นความสำคัญของการดูแลความปลอดภัยของซัพพลายเชนที่มีความสำคัญ โดยกำหนดให้บริษัทและรัฐบาลต้องประเมินและจัดการความเสี่ยงด้านการรักษาความปลอดภัยทางไซเบอร์ที่เกิดจากซัพพลายเออร์และผู้ให้บริการ

ข้อกำหนดด้านการรักษาความปลอดภัย: NIS2 บังคับใช้ข้อกำหนดด้านการรักษาความปลอดภัยที่มีรายละเอียดมากกว่าเดิม องค์กรต่าง ๆ จะต้องใช้มาตรการจัดการความเสี่ยง ประเมินระบบการรักษาความปลอดภัยเป็นประจำ และใช้กลยุทธ์การตอบสนองเหตุฉุกเฉิน นอกจากนี้ คำสั่งยังกำหนดให้องค์กรต้องใช้การเข้ารหัสและมาตรการควบคุมการเข้าถึงเพื่อปกป้องข้อมูลละเอียดอ่อนด้วย

การรายงานเหตุการณ์: คำสั่ง NIS ฉบับเดิมกำหนดให้องค์กรต้องรายงานเหตุการณ์สำคัญโดยไม่ล่าช้า NIS2 เพิ่มความเข้มงวดให้กับข้อกำหนดดังกล่าว และกำหนดให้องค์กรต้องรายงานเหตุการณ์ภายใน 24 ชั่วโมงหลังจากตรวจพบ เพื่อจะได้รับมือต่อการโจมตีและการหยุดชะงักที่เกี่ยวข้องได้เร็วขึ้น

การกำกับดูแลและการบังคับใช้: NIS2 ยกระดับบทบาทของหน่วยงานระดับประเทศในการกำกับดูแลและบังคับใช้ข้อกำหนด ไม่เพียงเท่านั้น บทลงโทษกรณีไม่ปฏิบัติตามข้อกำหนดยังรุนแรงขึ้นด้วย โดยค่าปรับอาจจะสูงถึง 10 ล้านยูโรหรือ 2% ของรายรับทั่วโลกต่อปีของบริษัท แล้วแต่ว่าจำนวนใดจะสูงกว่ากัน

ใครบ้างที่จะได้รับผลกระทบ

NIS2 ขยายขอบเขตครอบคลุมกว่าเดิม ดังนั้น ภาคธุรกิจที่ได้รับผลกระทบจึงมีมากขึ้นตามไปด้วย เช่น ภาคธุรกิจพลังงาน การขนส่ง การธนาคาร โครงสร้างพื้นฐานตลาดการเงิน การรักษาพยาบาล การจัดหาและจัดจำหน่ายน้ำดื่ม โครงสร้างพื้นฐานระบบดิจิทัล รัฐบาล และภาคธุรกิจการบิน องค์กรขนาดกลางและขนาดใหญ่ที่อยู่ในภาคธุรกิจเหล่านี้จะต้องปฏิบัติตามคำสั่งฉบับใหม่ตั้งแต่วันที่ 17 ตุลาคม 2024 เป็นต้นไป

ค่าปรับและบทลงโทษ

การไม่ปฏิบัติตามคำสั่ง NIS2 อาจจะส่งผลให้ต้องเสียค่าปรับจำนวนมหาศาล องค์กรที่ไม่ปฏิบัติตามมาตรฐานที่กำหนดหรือไม่รายงานเหตุการณ์อย่างทันท่วงทีอาจต้องจ่ายค่าปรับสูงถึง 10 ล้านยูโร หรือ 2% ของรายรับทั่วโลกต่อปี บทลงโทษที่รุนแรงนี้ตอกย้ำความสำคัญของการปฏิบัติตามคำสั่ง เพื่อจะได้หลีกเลี่ยงความเสียหายทางการเงินและชื่อเสียง

จะเป็นอย่างไร หากไม่ได้อยู่ในสหภาพยุโรป

แม้แต่องค์กรที่ไม่ได้อยู่ในสหภาพยุโรปก็ได้รับผลกระทบจาก NIS2 เช่นกัน หากองค์กรของคุณประกอบธุรกิจในสหภาพยุโรปหรือทำธุรกิจกับนิติบุคคลในสหภาพยุโรป คุณจะอยู่ภายใต้กฎระเบียบเหล่านี้และจะถูกลงโทษหากไม่ปฏิบัติตามข้อกำหนด