Mobile menu
Войти
Octopart
Главная Octopart Обзор Европейской директивы NIS2

Обзор Европейской директивы NIS2

Laura V. Garcia
|  Создано: 4 Декабря, 2024
Обзор Европейской Директивы NIS2

NIS2 — это новая директива ЕС, на которую вам следует обратить внимание.

Несмотря на то, что цифровизация сделала внутренние и внешние процессы более эффективными, упростила перемещение товаров и снизила затраты, именно эта зависимость от взаимосвязанных цифровых систем сделала производителей и их цепочки создания стоимости уязвимыми перед беспрецедентным уровнем угроз кибербезопасности, поскольку киберпреступники все чаще нацеливаются на уязвимости в цепочке поставок. 

Европейский союз вновь обратил внимание на эту область глубокой озабоченности через Директиву по безопасности сетей и информации NIS2, приняв законодательные меры для усиления защиты кибербезопасности в более широком круге секторов, введение ответственности руководства, обязывание компаний нести ответственность за свои цепочки поставок и внедрение значительных финансовых штрафов за несоблюдение.

Давайте рассмотрим, как Директива NIS2 устанавливает новые стандарты кибербезопасности и что это значит для вас и ваших бизнес-партнеров.

Растущая угроза кибербезопасности в индустрии печатных плат

По мере совершенствования возможностей наших противников должен совершенствоваться и наш ответ.

Согласно Глобальному отчету о угрозах CrowdStrike 2024, в 2023 году технологический сектор был наиболее часто целью для активных взломов, а телекоммуникационный сектор занял второе место.

Part Insights Experience

Access critical supply chain intelligence as you design.

Learn More

Поскольку печатные платы являются ключевыми компонентами почти всех электронных устройств, они представляют собой критически важные активы в таких и многих других жизненно важных отраслях, как аэрокосмическая промышленность, автомобилестроение и здравоохранение; любые перебои в цепочках поставок печатных плат, вызванные киберугрозами, могут привести к волнам нарушений во всем секторе, вызывая дорогостоящие задержки и остановки в работе. Однако за последнее десятилетие производство претерпело трансформацию благодаря тому, что было названо Индустрией 4.0 и цифровыми инновациями, такими как цифровые двойники, робототехника, искусственный интеллект, облачные вычисления и промышленный интернет вещей (IIoT). Хотя эти достижения способствуют росту и повышению эффективности, они также увеличивают уязвимость сектора перед киберугрозами, предоставляя новые точки входа для киберпреступников.

Другие факторы, повышающие риски кибербезопасности в производстве, включают недостаточное обучение сотрудников, когда отсутствие осведомленности может привести к использованию слабых паролей или уязвимости перед фишинговыми атаками. Кроме того, зависимость от устаревших систем без современных функций безопасности создает киберриски, как и сложные цепочки поставок с многочисленными партнерами третьих сторон, которые представляют множество точек входа для хакеров. Высокая конкуренция в отрасли и зависимость от операций, основанных на данных, также увеличивают вероятность кражи интеллектуальной собственности или утечек данных.

Киберугрозы могут принимать множество форм, включая атаки на цепочки поставок, вымогательство, кражу интеллектуальной собственности и саботаж производства, что влечет за собой значительные финансовые, стратегические и репутационные риски.

Распространенные типы кибератак в производстве

Распространенные типы кибератак в производстве и принцип их работы:

  • Атаки с использованием вымогательского ПО («вымогательство»): Вредоносное программное обеспечение («вирус»), ограничивающее доступ к компьютерной системе или файлам до уплаты выкупа.
  • Фишинговые атаки: Обманные электронные письма, веб-сайты или сообщения, предназначенные для того, чтобы обманом заставить людей раскрывать конфиденциальную информацию.
  • Кампании «китоборства»: Сложные фишинговые атаки, нацеленные на высокопоставленных лиц в организации.

Как это выглядит на практике? В результате атаки с использованием вымогательского ПО злоумышленники могут полностью остановить производство, что приведет к потерям как вверх, так и вниз по цепочке поставок. Раскрытие конфиденциальных конструкций печатных плат через утечки данных может привести к возможным рыночным потерям и потере конкурентных преимуществ.

Part Insights Experience

Access critical supply chain intelligence as you design.

Learn More

В качестве недавнего примера очень реальной угрозы, которую кибербезопасность представляет для индустрии, американский поставщик полупроводников Microchip Technology подтвердил, что в результате недавней атаки программ-вымогателей произошла кража личной информации и других данных из его систем. Компания сообщила об инциденте 20 августа, уведомив Комиссию по ценным бумагам и биржам США о том, что некоторые серверы и бизнес-операции были затронуты. Однако им удалось сдержать атаку, изолировав пострадавшие системы.

Common Types of Cyber Attacks in Manufacturing

Понимание Директивы NIS2

Директива NIS2 является расширением Директивы NIS, введенной в 2016 году, которая первоначально нацелена на сектора критической инфраструктуры, такие как энергетика и транспорт. NIS2 расширяет область применения первоначального нормативного акта, требуя от организаций в более широком спектре отраслей принять их, в ответ на повышенную зрелость и интенсивность современного ландшафта кибербезопасности.

Ключевые аспекты директивы, на которые вам нужно обращать внимание, включают:

  • Расширенная область применения: В отличие от своего предшественника, Директива NIS2 включает в себя более широкий спектр секторов, расширяясь от основных отраслей инфраструктуры до ряда производственных секторов, включая производство печатных плат, которое классифицируется как отрасль "жизненно важного" сектора. Цель состоит в защите субъектов, предоставляющих услуги, критически важные для экономической и социальной деятельности.
  • Ужесточение требований безопасности: NIS2 усиливает меры кибербезопасности, требуя от организаций внедрения процедур для обнаружения и управления киберинцидентами, обеспечивая при этом непрерывность бизнеса, включая требования к предотвращению инцидентов, управлению рисками и реагированию на инциденты.
  • Усиление безопасности цепочек поставок: Регулируемое статьей 21(2)(d), одним из наиболее важных элементов Директивы NIS2 для производителей является введение стандартов для оценки уровня кибербезопасности поставщиков. Согласно этому положению, ключевые и существенные субъекты должны внедрять соответствующие и пропорциональные технические, операционные и организационные меры для обеспечения безопасности цепочек поставок.
  • Обязанности по сообщению об инцидентах: В соответствии с NIS2, организации теперь обязаны сообщать о инцидентах национальным органам власти, устанавливая срок в 24 часа для первоначального сообщения и дополнительные обновления в течение 72 часов.
  • Ответственность и управление: Добавляя новый уровень ответственности для руководителей компаний, в соответствии с NIS2, организации должны назначить специального офицера или менеджера, ответственного за кибербезопасность, и высшее руководство может быть привлечено к ответственности за несоблюдение. 
  • Санкции за несоблюдение: Директива NIS2 предусматривает значительные финансовые штрафы за несоблюдение. Размер штрафов варьируется, но может достигать до €10 миллионов или 2% от глобального оборота компании, создавая убедительный экономический стимул для соблюдения стандартов.
Understanding The NIS2 Directive

Что означает NIS2 для вашей цепочки поставок

Установив более строгие стандарты кибербезопасности в ключевых отраслях, директива NIS2 представляет собой как возможность, так и обязательство для производителей печатных плат (PCB) соответствовать повышенным стандартам кибербезопасности и создавать более устойчивые цепочки поставок, делая это.

Вот некоторые конкретные последствия директивы для цепочек поставок в производстве печатных плат:

Meet US Government Security Requirements

Foster real-time collaboration with enhanced data security and access controls

Find Out More

Повышенные стандарты кибербезопасности

Директива NIS2 требует, чтобы производители печатных плат соответствовали строгому набору требований кибербезопасности, включая создание и поддержание сильных систем безопасности, от регулярных оценок уязвимости до внедрения многофакторной аутентификации и протоколов шифрования.

Организациям необходимо будет обеспечить наличие механизмов и бюджетов для постоянной идентификации, оценки и снижения киберрисков, что может потребовать найма специализированного персонала по кибербезопасности, инвестиций в средства обнаружения угроз и создания центров операций безопасности (SOC) для мониторинга активности в сети. Для тех, кто ранее выделял ограниченные ресурсы на кибербезопасность, это изменение, которое необходимо тщательно спланировать.

Увеличение видимости и прозрачности цепочки поставок

Цель директивы увеличения безопасности цепочки поставок потребует повышения прозрачности поставщиков и партнеров и может потребовать от производителей проведения аудитов и оценок безопасности по всей цепочке поставок, чтобы обеспечить соответствие требованиям NIS2.

Производителям печатных плат может потребоваться, чтобы сторонние поставщики демонстрировали свои практики безопасности, что может вызвать трения с поставщиками и привести к более стратегическому принятию решений для обеспечения соответствия, особенно если поставщики не желают или не могут соответствовать стандартам директивы.

Более строгие протоколы сообщения о инцидентах

Производителям печатных плат требуется сообщать о значительных инцидентах кибербезопасности национальным органам власти в течение 24 часов и предоставлять дополнительные обновления в течение 72 часов. Как хорошо известно производителям, сокращение времени до принятия мер минимизирует последствия. Хотя это может вызвать опасения по поводу репутационного ущерба, сообщение о инцидентах необходимо для ограничения потенциального ущерба.

Make cents of your BOM

Free supply chain insights delivered to your inbox

Learn More

Для выполнения этих требований к отчетности производителям необходимы надежные процессы обнаружения инцидентов, их классификации и эскалации. Наличие четко организованного плана реагирования на инциденты может предотвратить их эскалацию и снизить воздействие на всю цепочку поставок.

Ответственность руководства и культура управления рисками

Одним из наиболее значительных изменений, внесенных Директивой NIS2, является требование к ответственности руководства в области соответствия требованиям кибербезопасности. Высшее руководство компаний по производству печатных плат теперь должно быть осведомлено и вовлечено в планирование и стратегии реагирования на кибербезопасность.

Этот сдвиг подчеркивает важность внедрения кибербезопасности в структуру корпоративного управления. Руководителям необходимо получать образование в области киберрисков и поощряться к поддержке инициатив по кибербезопасности. В свою очередь, директива акцентирует внимание на "культуре кибербезопасности", где сотрудники всех уровней обучаются лучшим практикам, осведомленности о угрозах и безопасному цифровому поведению.

Штрафы и стоимость несоблюдения

С штрафами до €10 миллионов или 2% от глобального дохода компании, финансовые последствия несоблюдения Директивы NIS2 велики, и для многих производителей печатных плат они представляют серьезную угрозу. Организации могут столкнуться с серьезными последствиями за неисполнение юридических обязательств. Компаниям следует занять активную позицию, используя возможность выделиться и инвестировать в соответствие не только как в обязательство перед регулированием, но и как в меру экономии средств и повышения бренда.

Помимо штрафов, репутационный ущерб может быть значительным, особенно для производителей, работающих с чувствительными или известными клиентами. Несоблюдение или значительные нарушения в области кибербезопасности могут привести к потере доверия потребителей и партнеров и, в конечном итоге, поставить под угрозу вашу долгосрочную жизнеспособность и рост.

Cloud Storage and Version Control

Store your libraries and design data in one secure, accessible, and version-controlled space.

Learn More
What NIS2 Means For Your Supply Chain

Как соответствовать Директиве NIS2

Соответствие Директиве NIS2 требует стратегического планирования и распределения ресурсов. Вот несколько шагов, которые производители печатных плат должны рассмотреть:

Проведение оценки рисков кибербезопасности: Для разработки целенаправленной стратегии кибербезопасности и первоочередного решения проблем высокого риска начните с комплексной оценки рисков кибербезопасности, чтобы выявить потенциальные уязвимости. 

Разработка надежной стратегии безопасности цепочки поставок: Тесно сотрудничайте с поставщиками для оценки их практик кибербезопасности и разработки плана действий по устранению любых проблем. Установите договорные обязательства по соответствию стандартам кибербезопасности и требуйте регулярной отчетности о состоянии безопасности.

Внедрение продвинутых систем обнаружения инцидентов и реагирования на них: Инвестируйте в системы, обеспечивающие обнаружение угроз в реальном времени и системы реагирования. Установите протоколы реагирования на инциденты, позволяющие быстро принимать меры и соответствовать требованиям отчетности.

Обучение руководителей и сотрудников лучшим практикам кибербезопасности: Реализуйте мощную программу обучения, которая включает не только технический персонал, но и руководителей, а также всех сотрудников. Создание культуры, осведомленной о киберугрозах, может снизить человеческие ошибки и укрепить общую кибербезопасность. Если вам нужна дополнительная помощь в этой области, Всемирный экономический форум предлагает руководство по созданию культуры киберустойчивости в производстве.

Variant Manager

Meet demands of a globalized market that requires unique versions of your PCBs.

Learn More

Установление четкого управления и ответственности: Назначьте офицера кибербезопасности или создайте межфункциональную команду, ответственную за соответствие требованиям кибербезопасности. Эта команда должна регулярно докладывать исполнительному совету, предоставляя обновления о соответствии, рисках и управлении инцидентами.

Более устойчивая и безопасная цепочка поставок печатных плат

Хотя соблюдение требований может быть препятствием, требующим значительных усилий, инвестиций и адаптации, преимущество заключается в более прозрачной, безопасной и устойчивой цепочке поставок печатных плат.

Чтобы помочь воспринять усилия и затраты в перспективе, инцидент в цепочке поставок компании Applied Material в 2023 году был оценен в $250 миллионов.

Важность кибербезопасности в современные времена не преуменьшается клиентами и заказчиками и не должна подвергаться риску со стороны вашей цепочки поставок. Проактивно решая проблемы уязвимости и обеспечивая соответствие NIS2, компании могут не только снизить риски прерываний, но и выделить себя как надежных, доверенных партнеров, которые вносят свой вклад в обеспечение стабильности и безопасности глобальной цепочки поставок печатных плат.

Об авторе

Об авторе

Laura V. Garcia is a freelance supply chain and procurement writer and a one-time Editor-in-Chief of Procurement magazine.A former Procurement Manager with over 20 years of industry experience, Laura understands well the realities, nuances and complexities behind meeting the five R’s of procurement and likes to focus on the "how," writing about risk and resilience and leveraging developing technologies and digital solutions to deliver value.When she’s not writing, Laura enjoys facilitating solutions-based, forward-thinking discussions that help highlight some of the good going on in procurement because the world needs stronger, more responsible supply chains.

Больше материалов от Laura V. Garcia

Связанные ресурсы

Тенденции микропроцессоров 6 основных тенденций в области микропроцессоров к 2025 году Изучите ведущие тенденции микропроцессоров, от ускорения искусственного интеллекта до архитектур чиплетов, энергоэффективности, безопасности и устойчивости в эволюции вычислительной техники. Читать статью
Кремниевые приводы: Как микропроцессоры революционизируют архитектуру автомобилей Кремниевые приводы: Как микропроцессоры революционизируют архитектуру автомобилей Узнайте, как микропроцессоры преобразуют архитектуру автомобилей с помощью ИИ, зональных вычислений, управления питанием и безопасного подключения для будущего транспортных средств. Читать статью
Сколько будут стоить тарифы раздела 301 на импорт электронных компонентов из Китая? Сколько будут стоить тарифы раздела 301 на импорт электронных компонентов из Китая? Часы тикают к решающему моменту для импортеров с приближающимся истечением срока действия выбранных исключений из тарифов раздела 301 31 мая 2024 года. Эти исключения были жизненно важны для более чем 300 категорий товаров, предоставляя финансовое облегчение критически важным сегментам, включая существенные медицинские поставки, направленные на борьбу с пандемией COVID-19. Если Представитель торговли США (USTR) не объявит о новом продлении (см Читать статью
Соответствие Altium 365 RSP Проблемы с соответствием? Altium 365 RSP автоматизирует отчетность, облегчая нагрузку Имеете проблемы с отчетностью по соответствию? Автоматизируйте документацию, отслеживайте требования и упростите выполнение регулятивных обязательств с помощью Altium 365 RSP — создано для команд разработчиков электроники. Читать статью
Сотрудничество для гибкого проектирования Маленькая команда, большое влияние: Altium 365 RSP оптимизирует сотрудничество для гибкого проектирования Современные команды по разработке электроники сталкиваются с идеальным штормом вызовов. Системы становятся более сложными и междисциплинарными, в то время как требования рынка меняются с быстрой скоростью. Для небольших аппаратных команд, использующих гибкую методологию разработки, это создает особую проблему: оставаться эффективно отзывчивыми, управляя растущей сложностью с ограниченными ресурсами. Влияние принятия гибких методов в разработке Читать статью
Переход учетных записей Octopart на Altium Identity Переход учетных записей Octopart на Altium Identity В Octopart (дочерней компании Altium Ltd) мы стремимся улучшить ваш опыт, сделав его проще, безопаснее и более связанным. С этой целью мы рады объявить об важном обновлении: все учетные записи Octopart будут переведены на Altium Identity начиная с 20 февраля. Это изменение усилит безопасность вашей учетной записи и предоставит новые возможности для беспрепятственной интеграции с более широкой экосистемой Altium. Вот все, что вам нужно знать о Читать статью
Роль Канады в индустрии полупроводников и цепочке поставок Роль Канады в индустрии полупроводников и цепочке поставок Канада использует инвестиции, инновации и ресурсы для укрепления своих позиций как ключевого игрока в глобальной индустрии полупроводников и цепочке поставок. Читать статью
Octopart Research и Altium Designer Octopart Research + Altium Designer = Один мощный рабочий процесс с RSP Оптимизируйте проектирование печатных плат с помощью Octopart и Altium Designer. Упростите поиск компонентов, проверку наличия на складе и документацию для обеспечения бесперебойного и эффективного рабочего процесса. Читать статью
Прекратите перерывать документы в поисках причин выбора этой детали Прекратите перерывать документы в поисках причин выбора этой детали Прекратите поиски прошлых решений по дизайну! Узнайте, как отслеживать выбор компонентов и требования, чтобы сэкономить время и избежать усталости от принятия решений в инженерии. Читать статью
Ответ электронной индустрии на угрозы введения тарифов в 2025 году Ответ электронной индустрии на угрозы введения тарифов в 2025 году На фоне нарастающих напряженностей в глобальной торговле избранный президент Дональд Трамп предложил ввести тарифы до 60–100% на импортируемые товары, включая полупроводники. Вот что в этом хорошего, плохого и как отрасль реагирует. Хотя цель состоит в том, чтобы стимулировать увеличение внутреннего производства и обеспечить долгосрочное стратегическое преимущество, в краткосрочной перспективе угрозы тарифов, выдвинутые избранным президентом Читать статью

Связанная техническая документация

Tutorial - Searching for and Acquiring the Components in Altium Designer Tutorial - Searching for and Acquiring the Components in Altium Designer

Explore Altium Designer 24 technical documentation for Searching for and Acquiring the Components and related features.

 Прочтите документацию
Managing Project Documents in Altium Designer Managing Project Documents in Altium Designer

Explore Altium Designer 24 technical documentation for Managing Project Documents and related features.

 Прочтите документацию
Navigating a Document in Altium Designer Navigating a Document in Altium Designer

Explore Altium Designer 24 technical documentation for Navigating a Document and related features.

 Прочтите документацию
Saving Projects and Documents in Altium Designer Saving Projects and Documents in Altium Designer

Explore Altium Designer 24 technical documentation for Saving Projects and Documents and related features.

 Прочтите документацию
Navigating a Project using Design Insight Features in Altium Designer Navigating a Project using Design Insight Features in Altium Designer

Explore Altium Designer 24 technical documentation for Design Insight and related features.

 Прочтите документацию
Creating a Project Template in Altium Designer Creating a Project Template in Altium Designer

Explore Altium Designer 24 technical documentation for Creating a Project Template and related features.

 Прочтите документацию
QuickNav - Panels in Altium Designer QuickNav - Panels in Altium Designer

Explore Altium Designer 24 technical documentation for QuickNav - Panels and related features.

 Прочтите документацию
Local Version Control Service with Altium On-Prem Enterprise Server Local Version Control Service with Altium On-Prem Enterprise Server

This page looks at the Enterprise Server's local version control service, available for those who have upgraded from Altium Vault 3.0. Use this service to create new repositories (SVN-only), or connect to external repositories (SVN or Git)

 Прочтите документацию
Design Data Comparisons in Altium On-Prem Enterprise Server Design Data Comparisons in Altium On-Prem Enterprise Server

Explore Altium On-Prem Enterprise Server 7.0 technical documentation for Design Data Comparisons and related features.

 Прочтите документацию
Altium On-Prem Enterprise Server FAQs Altium On-Prem Enterprise Server FAQs

This page presents a listing of frequently asked questions for the Enterprise Server. Covers general questions, as well as those regarding licensing, component management, design management, and ECAD-MCAD CoDesign

 Прочтите документацию
Вернуться на главную

Оглавление

Развернуть содержимое Таблица содержимого обрушения
Altium Designer Logo

Take advantage of the world's
most trusted PCB design system.

One interface. One data
model. Endless possibilities.

Effortlessly collaborate with
mechanical designers.

The world's most trusted
PCB design platform

Best in class interactive
routing

View License Options
Try Altium Designer
Which best describes you?
Thank you, you are now subscribed to updates.
Altium Need Help?