বড় ব্যবসার জন্য কঠোর নতুন সাইবার প্রবিধানের অর্থ কী

NIS 2, যার অর্থ হল নেটওয়ার্ক এবং তথ্য নিরাপত্তা নির্দেশিকা 2, হল একটি EU নির্দেশিকা যার লক্ষ্য সমগ্র ব্লক জুড়ে IT সিস্টেম এবং নেটওয়ার্কগুলির নিরাপত্তা বৃদ্ধি করা। 2020 সালে প্রবর্তিত, আইনটি NIS নামে পরিচিত একটি পূর্ববর্তী নির্দেশের আপডেট হিসাবে কাজ করে।

NIS 2 তার পূর্বসূরির পরিধি আরও সাম্প্রতিক সাইবার নিরাপত্তা চ্যালেঞ্জ এবং হুমকি মোকাবেলার জন্য প্রসারিত করেছে যেগুলি অপরাধীরা কোম্পানিগুলিকে হ্যাক করার এবং তাদের সংবেদনশীল ডেটা আপোস করার নতুন উপায় খুঁজে বের করে।

নির্দেশটি ইউরোপীয় ইউনিয়নে কাজ করা সংস্থাগুলির জন্য প্রযোজ্য এবং ব্যাঙ্ক, শক্তি সরবরাহকারী, স্বাস্থ্যসেবা প্রতিষ্ঠান, ইন্টারনেট সরবরাহকারী, পরিবহন সংস্থা এবং বর্জ্য প্রসেসর সহ গ্রাহকদের প্রয়োজনীয় পরিষেবা সরবরাহ করে।

সাইবার লঙ্ঘনের ক্ষেত্রে ঝুঁকি ব্যবস্থাপনা, কর্পোরেট দায়িত্ব, রিপোর্টিং বাধ্যবাধকতা এবং ব্যবসায়িক ধারাবাহিকতা পরিকল্পনা অন্তর্ভুক্ত করা হবে।

ক্যাপজেমিনিতে গ্লোবাল সাইবার সিকিউরিটি সার্ভিসের এক্সিকিউটিভ ভাইস প্রেসিডেন্ট গির্ট ভ্যান ডার লিন্ডেন সিএনবিসিকে বলেছেন যে NIS 2 কার্যকরভাবে কোম্পানিগুলির জন্য একটি নতুন ভিত্তিরেখা স্থাপন করেছে যা নাগরিকদের সুরক্ষা, অপারেশন বজায় রাখা এবং সাইবার আক্রমণের মুখে স্থিতিস্থাপক থাকার জন্য গ্রহণযোগ্য।

“NIS 2 বিচারকদের দ্বারা একটি বৈশ্বিক মান হিসাবে দেখা হবে” যখন এটি প্রযোজ্য হবে, ভ্যান ডার লিন্ডেন যোগ করেছেন। “আমাদের ক্লায়েন্টদের জন্য, তাদের নিয়ন্ত্রণে প্রয়োজনীয় বা গুরুত্বপূর্ণ হিসাবে দেখা হোক না কেন, তাদের সেই বেসলাইনটি দেখতে হবে এবং নিশ্চিত করতে হবে যে তারা সঙ্গতিপূর্ণ।”

ভ্যান ডার লিন্ডেন যোগ করেছেন এই বেসলাইনটি অর্জনের মাধ্যমে, কোম্পানিগুলি কার্যকরভাবে দাবির বিরুদ্ধে নিজেদের রক্ষা করবে। তিনি এটিকে চোরের হাত থেকে আপনার বাড়ি রক্ষা করার জন্য বাড়ির মালিকদের বীমা নেওয়ার সাথে তুলনা করেছেন।

“চোররা কোথায় যায়? এটি সর্বদা সবচেয়ে কম সুরক্ষিত বাড়ি। তারা কোথায় প্রবেশ করতে পারে তা দেখার জন্য তারা প্রতিটি দরজা খুলে দেয়,” তিনি বলেছিলেন। ভ্যান ডের লিন্ডেন যোগ করেছেন, সাইবার অ্যাটাক থেকে নিজেদের রক্ষা করতে চাওয়া কোম্পানিগুলোর ক্ষেত্রেও একই কথা সত্য হয়ে উঠছে।

NIS 2 এর অধীনে, কোম্পানিগুলিকে সাইবার হুমকি এবং দুর্বলতার জন্য তাদের ডিজিটাল সাপ্লাই চেইন পরীক্ষা করতে হবে। কোম্পানিগুলি আজ প্রতিদিন বিভিন্ন পণ্য এবং সরঞ্জাম ব্যবহার করে, অপরাধীদের আক্রমণের আরও সম্ভাব্য উপায় দেয়।

সিসকোর ইইউ পাবলিক পলিসি টিমের প্রধান ক্রিস গো, সিএনবিসিকে বলেছেন যে NIS 2 এর অধীনে একটি “ম্যাপিং অনুশীলন” করা হবে, যেখানে কোম্পানিগুলিকে তাদের প্রযুক্তি সরবরাহকারীদের স্ক্যান করতে হবে যে কোনও সম্ভাব্য ঝুঁকির মূল্যায়ন করতে।

NIS 2-এর অধীনে অন্যান্য কোম্পানির সাথে সাইবার দুর্বলতা এবং আক্রমণ সম্পর্কে তথ্য জানাতে এবং শেয়ার করার জন্য কোম্পানিগুলির একটি “যত্নের দায়িত্ব” থাকবে – এমনকি যদি এর অর্থ সাইবার লঙ্ঘনের শিকার হওয়ার কথা স্বীকার করতে হয়।

যে সংস্থাগুলি নতুন আইন মেনে চলতে ব্যর্থ হয় তাদের অন্যান্য শাস্তিমূলক পদক্ষেপের পাশাপাশি বিশাল জরিমানাও হতে পারে।

অত্যাবশ্যকীয় বিবেচিত সত্ত্বাগুলির জন্য, যেমন পরিবহন, অর্থ এবং জল সংস্থাগুলি, NIS 2 মেনে চলতে ব্যর্থতার জন্য 10 মিলিয়ন ইউরো ($11.1 মিলিয়ন) বা বিশ্বব্যাপী বার্ষিক রাজস্বের 2% পর্যন্ত জরিমানা হতে পারে — যেটি বড়।

ইতিমধ্যে, প্রয়োজনীয় বিবেচিত সংস্থাগুলি – যেমন খাদ্য সংস্থা, রাসায়নিক সংস্থাগুলি এবং বর্জ্য ব্যবস্থাপনা পরিষেবাগুলি – অ-সম্মতির জন্য তাদের বিশ্বব্যাপী বার্ষিক রাজস্বের 1.4% পর্যন্ত €7 মিলিয়ন পর্যন্ত জরিমানা ভোগ করে৷

কোম্পানিগুলি NIS 2 মেনে চলতে ব্যর্থ হলে সম্ভাব্য পরিষেবা সাসপেনশনের সম্মুখীন হতে পারে, সেইসাথে তারা মেনে চলছে কিনা তা যাচাই করার জন্য কঠোর তত্ত্বাবধান।

যদি কোনও কোম্পানি সাইবার লঙ্ঘনের শিকার হয়, তবে কর্তৃপক্ষকে একটি আগাম সতর্কতা বিজ্ঞপ্তি পাঠানোর জন্য 24 ঘন্টা সময় আছে। এটি ইউরোপীয় ইউনিয়নের একটি পৃথক ডেটা গোপনীয়তা আইন জিডিপিআর (জেনারেল ডেটা প্রোটেকশন রেগুলেশন) এর অধীনে ডেটা লঙ্ঘন সম্পর্কে কর্তৃপক্ষকে জানাতে 72-ঘন্টার সময় উইন্ডোর চেয়ে কঠোর।

“NIS 2 এর জন্য প্রস্তুতি আপনি কি করতে পারেন তা দেখার জন্য একটি দৌড় নয়, বরং একটি দৌড় যেখানে সবচেয়ে শক্তিশালী সংস্থাগুলি বেসলাইনকে অতিক্রম করে এবং একটি প্রতিযোগিতামূলক সুবিধা অর্জনের প্রচেষ্টাকে কাজে লাগায়,” বলেছেন কার্ল লিওনার্ড, NIS 2 প্রুফপয়েন্ট সাইবারসিকিউরিটি৷ ইএমইএ-তে, সিএনবিসিকে বলেছেন।

“আমি আশা করি যে সংস্থাগুলি ইউরোপীয় ইউনিয়ন স্তরে সমন্বিত প্রচেষ্টার মাধ্যমে সর্বোত্তমভাবে সমর্থিত হবে,” লিওনার্ড বলেছেন। “এর মধ্যে থাকবে শেয়ার্ড থ্রেট ইন্টেলিজেন্স, সাইবার সিকিউরিটির একটি উচ্চতর সাধারণ স্তর এবং ‘আমরা একসাথে আছি’ মানসিকতা।”

কোম্পানিগুলি তাদের অভ্যন্তরীণ প্রক্রিয়া এবং নিয়ন্ত্রণের পাশাপাশি সাইবার নিরাপত্তার আশেপাশের বিস্তৃত সংস্কৃতিকে 17 অক্টোবরের সময়সীমার আগে আকারে পেতে দৌড়াচ্ছে।

Cisco’s Gow বলেছেন যে এমনকি নতুন প্রবিধানের হুমকি ছাড়াই, কোম্পানিগুলি সাইবার লঙ্ঘন এবং বিঘ্নিত ঘটনার হুমকিকে গুরুত্ব সহকারে নিচ্ছে তা নিশ্চিত করতে অভ্যন্তরীণভাবে তাদের সংস্কৃতি পরিবর্তন করার জন্য কঠোর পরিশ্রম করছে।

“এমনকি নিয়ন্ত্রকের দিকে যা ঘটছে তা নির্বিশেষে, আমরা দেখতে পাই যে CISO (প্রধান তথ্য নিরাপত্তা কর্মকর্তা) স্তর থেকে বোর্ড এবং ব্যবস্থাপনা পর্যন্ত রিপোর্টিং ঘটছে।”

তিনি যোগ করেছেন, যাইহোক, NIS 2 কোম্পানিগুলিকে তাদের সাইবার নিয়ন্ত্রণ এবং অনুশীলনগুলিকে নতুন নিয়মের সাথে আপডেট করার জন্য আরও দ্রুত অগ্রসর হতে বাধ্য করছে।

“এটি অবশ্যই একটি প্রভাব আছে,” তিনি বলেন. “আমি নিজের জন্য এটি দেখছি। অভ্যন্তরীণভাবে লোকেরা সেলস এবং ম্যানেজমেন্ট প্রশ্ন নিয়ে এগিয়ে আসছে, জিজ্ঞাসা করছে ‘এটি আমাদের জন্য কীভাবে কাজ করে?'” তিনি যোগ করেছেন যে কোম্পানিগুলিকে তারা পূরণ করতে পারে তা নিশ্চিত করার জন্য “এখনই করা প্রস্তুতি” রয়েছে। NIS 2 প্রয়োজনীয়তা।

এখনও, এমনকি সাইবার নিরাপত্তা বোর্ডরুমগুলিতে অনেক বেশি বিশিষ্ট ফোকাস হওয়া সত্ত্বেও, এটি সাইবার আক্রমণগুলিকে থামাতে পারেনি।

এই বছরের শুরুর দিকে, যুক্তরাজ্যের একটি বেসরকারী স্বাস্থ্যসেবা প্রদানকারী সিনোভিসের উপর একটি র্যানসমওয়্যার আক্রমণ হাসপাতাল এবং ক্লিনিকগুলিতে 3,000 এরও বেশি অ্যাপয়েন্টমেন্ট ব্যাহত করেছিল। আক্রমণকারী, কিলিন নামক একটি রাশিয়ান হ্যাকার গ্রুপ, £40 মিলিয়ন মুক্তিপণ প্রদানের দাবি করেছিল।

Gow বলেছেন যে নতুন প্রবিধান ভবিষ্যতে একই ধরনের ঘটনা ঘটতে বাধা দিতে পারে তা অনুমান করা একটি ভুল হবে, কিন্তু যোগ করেছেন যে NIS 2 “আপনি কীভাবে সামগ্রিক নিরাপত্তার মাত্রা বাড়াচ্ছেন তা প্রদর্শনের চারপাশে কিছু তদন্ত এবং ফোকাস সংস্থান তৈরি করতে সহায়তা করেছে।”