NIS2 निर्देश के बारे में वह सब कुछ जो आपको जानना चाहिए: यह किस पर लागू होता है, आवश्यकताएँ, €10M तक के जुर्माने, समय-सीमाएँ, और अनुपालन के लिए अपने संगठन को कैसे तैयार करें।
NIS2 निर्देश (Directive (EU) 2022/2555) एक दशक में EU साइबर सुरक्षा विनियमन का सबसे महत्वपूर्ण सुधार है। यदि आपका संगठन यूरोप में संचालित होता है, तो यह कानून साइबर सुरक्षा के प्रति आपके दृष्टिकोण को मौलिक रूप से बदल देगा — और गैर-अनुपालन के लिए दंड गंभीर हैं।
यह मार्गदर्शिका सब कुछ शामिल करती है: NIS2 क्या है, यह किस पर लागू होता है, विशिष्ट आवश्यकताएँ, समय-सीमाएँ, दंड, और अनुपालन प्राप्त करने का एक स्पष्ट रोडमैप।
NIS2 निर्देश सभी सदस्य देशों में साइबर सुरक्षा के उच्च सामान्य स्तर को सुनिश्चित करने के लिए यूरोपीय संघ का अद्यतन ढाँचा है। यह मूल NIS निर्देश (2016/1148) की जगह लेता है, जिसकी असंगत कार्यान्वयन और आज के खतरे परिदृश्य के लिए बहुत संकीर्ण दायरे के लिए व्यापक रूप से आलोचना की गई थी।
28 नवंबर, 2022 को यूरोपीय संसद द्वारा अपनाया गया, NIS2 अनिवार्य साइबर सुरक्षा दायित्वों के अंतर्गत आने वाले संगठनों की संख्या में नाटकीय रूप से विस्तार करता है। यूरोपीय आयोग ने अनुमान लगाया कि मूल NIS निर्देश ने EU भर में लगभग 15,000 संस्थाओं को कवर किया। NIS2 के तहत, यह संख्या 1,60,000 से अधिक संगठनों तक बढ़ जाती है — दस गुना वृद्धि।
मूल NIS निर्देश ने बहुत सारी कमियाँ छोड़ दीं:
NIS2 सामंजस्यपूर्ण आवश्यकताओं, विस्तारित दायरे, और वास्तविक प्रभाव वाले प्रवर्तन तंत्रों के साथ इन सभी कमियों को संबोधित करता है।
NIS2 क्षेत्र-आधारित वर्गीकरण के साथ आकार-सीमा नियम का उपयोग करता है। संगठनों को आवश्यक संस्थाओं या महत्वपूर्ण संस्थाओं के रूप में वर्गीकृत किया जाता है।
ये क्षेत्र समाज और अर्थव्यवस्था के कामकाज के लिए अत्यावश्यक माने जाते हैं:
NIS2 उपरोक्त क्षेत्रों के उन संगठनों पर लागू होता है जो कम से कम एक निम्नलिखित सीमा को पूरा करते हैं:
महत्वपूर्ण अपवाद: कुछ संस्थाएँ आकार की परवाह किए बिना कवर की जाती हैं, जिनमें शामिल हैं: - DNS सेवा प्रदाता - TLD नाम रजिस्ट्री - सार्वजनिक इलेक्ट्रॉनिक संचार नेटवर्क के प्रदाता - ट्रस्ट सेवा प्रदाता - किसी सदस्य देश में सेवा के एकमात्र प्रदाता जो सामाजिक/आर्थिक गतिविधियों के लिए आवश्यक है
भले ही आपका संगठन सीधे NIS2 के अंतर्गत न आता हो, आप आपूर्ति श्रृंखला आवश्यकताओं के माध्यम से प्रभावित हो सकते हैं। आवश्यक और महत्वपूर्ण संस्थाओं को अपनी आपूर्ति श्रृंखलाओं के लिए साइबर सुरक्षा जोखिम प्रबंधन उपाय लागू करने होंगे, जिसका अर्थ है कि वे अनुपालन आवश्यकताओं को विक्रेताओं और भागीदारों तक पहुँचाएंगे।
NIS2 अनुच्छेद 21 दस न्यूनतम साइबर सुरक्षा जोखिम प्रबंधन उपायों की रूपरेखा तैयार करता है जो सभी कवर की गई संस्थाओं को लागू करने होंगे:
जोखिम विश्लेषण और सूचना प्रणाली सुरक्षा के लिए व्यापक नीतियाँ स्थापित करें। इसमें नियमित जोखिम मूल्यांकन, प्रलेखित सुरक्षा नीतियाँ, और साइबर सुरक्षा के लिए एक शासन ढाँचा शामिल है।
साइबर सुरक्षा घटनाओं को रोकने, पता लगाने और उनका जवाब देने की प्रक्रियाएँ लागू करें। इसमें शामिल हैं: - घटना प्रतिक्रिया योजनाएँ - घटना पहचान क्षमताएँ - घटनाओं के दौरान संचार प्रक्रियाएँ
परिचालन लचीलापन सुनिश्चित करें: - बैकअप प्रबंधन - आपदा पुनर्प्राप्ति योजनाएँ - संकट प्रबंधन प्रक्रियाएँ - निरंतरता योजनाओं का नियमित परीक्षण
प्रत्यक्ष आपूर्तिकर्ताओं और सेवा प्रदाताओं के साथ संबंधों में सुरक्षा जोखिमों को संबोधित करें। आपूर्तिकर्ता साइबर सुरक्षा प्रथाओं पर उचित परिश्रम करें और अनुबंधों में सुरक्षा आवश्यकताएँ शामिल करें।
नेटवर्क और सूचना प्रणालियों के अधिग्रहण, विकास और रखरखाव को कवर करने वाले सुरक्षा उपाय लागू करें, जिसमें कमजोरी प्रबंधन और प्रकटीकरण शामिल है।
साइबर सुरक्षा जोखिम प्रबंधन उपायों की प्रभावशीलता का मूल्यांकन करने के लिए नीतियाँ और प्रक्रियाएँ स्थापित करें। नियमित ऑडिट और मूल्यांकन आवश्यक हैं।
साइबर स्वच्छता प्रथाओं को लागू करें और प्रबंधन सहित सभी कर्मचारियों के लिए नियमित साइबर सुरक्षा जागरूकता प्रशिक्षण प्रदान करें।
ट्रांजिट और रेस्ट में डेटा की सुरक्षा के लिए क्रिप्टोग्राफी और, जहाँ उचित हो, एन्क्रिप्शन के उपयोग के संबंध में नीतियाँ और प्रक्रियाएँ स्थापित करें।
उचित एक्सेस नियंत्रण नीतियाँ, संपत्ति प्रबंधन प्रक्रियाएँ, और बहु-कारक प्रमाणीकरण या निरंतर प्रमाणीकरण समाधान लागू करें।
संगठन के भीतर सुरक्षित वॉइस, वीडियो और टेक्स्ट संचार, और सुरक्षित आपातकालीन संचार प्रणालियों का उपयोग करें।
NIS2 एक बहु-चरणीय घटना रिपोर्टिंग दायित्व प्रस्तुत करता है जो अपने पूर्ववर्ती से काफी अधिक कठोर है:
| चरण | समय-सीमा | आवश्यकता |
|---|---|---|
| प्रारंभिक चेतावनी | 24 घंटों के भीतर | किसी महत्वपूर्ण घटना के बारे में CSIRT या सक्षम प्राधिकरण को सूचित करें |
| घटना अधिसूचना | 72 घंटों के भीतर | गंभीरता, प्रभाव और समझौते के संकेतकों सहित प्रारंभिक मूल्यांकन प्रदान करें |
| मध्यवर्ती रिपोर्ट | अनुरोध पर | घटना और प्रतिक्रिया उपायों पर स्थिति अद्यतन |
| अंतिम रिपोर्ट | 1 माह के भीतर | विस्तृत विवरण, मूल कारण, शमन उपाय, और सीमा-पार प्रभाव |
एक महत्वपूर्ण घटना वह परिभाषित की जाती है जो: - गंभीर परिचालन व्यवधान या वित्तीय हानि का कारण बनी हो या बनने में सक्षम हो - अन्य प्राकृतिक या कानूनी व्यक्तियों को प्रभावित कर चुकी हो या करने में सक्षम हो, जिससे काफी भौतिक या गैर-भौतिक क्षति हो
NIS2 के प्रवर्तन प्रावधान मूल निर्देश से एक कदम आगे हैं:
NIS2 के सबसे महत्वपूर्ण प्रावधानों में से एक अनुच्छेद 20 है, जिसके लिए आवश्यक है: - प्रबंधन निकायों द्वारा साइबर सुरक्षा जोखिम प्रबंधन उपायों को अनुमोदित करना - प्रबंधन निकायों द्वारा इन उपायों के कार्यान्वयन की निगरानी करना - प्रबंधन निकाय के सदस्यों को साइबर सुरक्षा में प्रशिक्षण प्राप्त करना - प्रबंधन को उल्लंघनों के लिए व्यक्तिगत रूप से उत्तरदायी ठहराया जा सकता है
इसका अर्थ है कि साइबर सुरक्षा अब ऐसी चीज़ नहीं है जिसे पूरी तरह से IT विभाग को सौंपा जा सके। बोर्ड के सदस्य और C-suite अधिकारी सीधी जिम्मेदारी वहन करते हैं।
निर्देश 16 जनवरी, 2023 को लागू हुआ, और सदस्य देशों को 17 अक्टूबर, 2024 तक इसे राष्ट्रीय कानून में रूपांतरित करना आवश्यक था।
जर्मनी — NIS2-Umsetzungsgesetz (NIS2UmsuCG) में देरी हुई लेकिन 2025 में प्रभावी होने की उम्मीद है। यह अकेले जर्मनी में अनुमानित 29,000 संगठनों को प्रभावित करेगा — मूल KRITIS विनियमन के तहत लगभग 2,000 से बढ़कर। जर्मन कार्यान्वयन कई क्षेत्रों में निर्देश की न्यूनतम आवश्यकताओं से आगे जाता है।
ऑस्ट्रिया — NISG 2024 (Netz- und Informationssystemsicherheitsgesetz) उन्नत चरणों में है। ऑस्ट्रिया में लगभग 4,000 संगठनों को कवर करने की उम्मीद है।
स्विट्ज़रलैंड — हालाँकि EU सदस्य नहीं है, स्विट्ज़रलैंड अपने साइबर सुरक्षा ढाँचे को NIS2 सिद्धांतों के साथ संरेखित कर रहा है। संशोधित Informationssicherheitsgesetz (ISG) समान आवश्यकताओं को शामिल करता है, और EU में व्यापार करने वाली स्विस कंपनियों को सीधे NIS2 का पालन करना होगा।
फ्रांस — फ्रांस ने अपने पहले से मजबूत ANSSI ढाँचे पर निर्माण करते हुए निर्देश को काफी हद तक समय पर रूपांतरित किया।
नीदरलैंड — Wet beveiliging netwerk- en informatiesystemen 2 (Wbni 2) को अंतिम रूप दिया जा रहा है, जो लगभग 10,000 डच संगठनों तक कवरेज का विस्तार करेगा।
यह आकलन करने के लिए उपरोक्त क्षेत्र सूचियों और आकार-सीमा थ्रेशोल्ड का उपयोग करें कि आपका संगठन आवश्यक या महत्वपूर्ण संस्था के रूप में योग्य है या नहीं। आपूर्ति श्रृंखला दायित्वों पर विचार करना न भूलें — भले ही आप सीधे दायरे में न हों, आपके ग्राहकों को NIS2-संरेखित सुरक्षा प्रथाओं की आवश्यकता हो सकती है।
अनुच्छेद 21 में दस न्यूनतम उपायों के विरुद्ध अपनी वर्तमान साइबर सुरक्षा स्थिति की तुलना करें। इनमें कमियाँ पहचानें: - जोखिम प्रबंधन प्रक्रियाएँ - घटना पहचान और प्रतिक्रिया क्षमताएँ - व्यवसाय निरंतरता योजना - आपूर्ति श्रृंखला सुरक्षा प्रथाएँ - कर्मचारी प्रशिक्षण और जागरूकता
आप जो नहीं जानते उसकी रक्षा नहीं कर सकते। अपनी बाहरी अटैक सरफ़ेस का गहन मूल्यांकन करें, जिसमें शामिल हैं: - वेब अनुप्रयोग और APIs - क्लाउड सेवाएँ और अवसंरचना - तृतीय-पक्ष एकीकरण - इंटरनेट एक्सपोज़र वाले लीगेसी सिस्टम
KENSAI स्वचालित, AI-संचालित अटैक सरफ़ेस स्कैनिंग प्रदान करता है जो आपकी संपूर्ण बाहरी उपस्थिति को मैप करती है और हमलावरों से पहले कमजोरियों की पहचान करती है। पारंपरिक पॉइंट-इन-टाइम मूल्यांकनों के विपरीत, KENSAI निरंतर स्कैनिंग प्रदान करता है जो NIS2 की निरंतर जोखिम प्रबंधन आवश्यकता के साथ संरेखित है।
अपने गैप विश्लेषण के आधार पर, आवश्यक तकनीकी नियंत्रण तैनात करें: - नेटवर्क सेगमेंटेशन और मॉनिटरिंग - एंडपॉइंट डिटेक्शन और रिस्पॉन्स (EDR) - बहु-कारक प्रमाणीकरण - ट्रांजिट और रेस्ट में डेटा के लिए एन्क्रिप्शन - नियमित स्कैनिंग के साथ कमजोरी प्रबंधन - वेब अनुप्रयोग फ़ायरवॉल और API सुरक्षा
NIS2 के लिए प्रलेखित नीतियों और प्रक्रियाओं की आवश्यकता है। न्यूनतम रूप से, आपको चाहिए: - सूचना सुरक्षा नीति - जोखिम मूल्यांकन कार्यप्रणाली और रिपोर्ट - घटना प्रतिक्रिया योजना - व्यवसाय निरंतरता और आपदा पुनर्प्राप्ति योजनाएँ - आपूर्ति श्रृंखला सुरक्षा नीति - प्रशिक्षण रिकॉर्ड
24-घंटे की प्रारंभिक चेतावनी आवश्यकता का अर्थ है कि आपको चाहिए: - 24/7 मॉनिटरिंग क्षमताएँ (या आउटसोर्स SOC सेवाएँ) - पूर्व-परिभाषित घटना वर्गीकरण मानदंड - CSIRT अधिसूचना के लिए संचार टेम्पलेट - स्पष्ट भूमिकाओं वाली नामित घटना प्रतिक्रिया टीम
NIS2 प्रबंधन निकायों और कर्मचारियों के लिए साइबर सुरक्षा प्रशिक्षण अनिवार्य करता है। लागू करें: - सभी कर्मचारियों के लिए नियमित सुरक्षा जागरूकता प्रशिक्षण - उनकी निगरानी जिम्मेदारियों पर प्रबंधन के लिए विशिष्ट प्रशिक्षण - IT और सुरक्षा कर्मचारियों के लिए तकनीकी प्रशिक्षण - फ़िशिंग सिमुलेशन और सुरक्षा अभ्यास
अपने आपूर्तिकर्ता संबंधों की समीक्षा करें और: - महत्वपूर्ण आपूर्तिकर्ताओं की साइबर सुरक्षा स्थिति का आकलन करें - प्रोक्योरमेंट मानदंड और अनुबंधों में सुरक्षा आवश्यकताएँ शामिल करें - प्रमुख आपूर्तिकर्ताओं के साथ सूचना-साझाकरण तंत्र स्थापित करें - निरंतर आधार पर आपूर्तिकर्ता सुरक्षा की निगरानी करें
NIS2 की निरंतर जोखिम प्रबंधन आवश्यकताओं को पूरा करने के सबसे प्रभावी तरीकों में से एक स्वचालित सुरक्षा परीक्षण है। निर्देश स्पष्ट रूप से कमजोरी प्रबंधन और साइबर सुरक्षा उपायों के नियमित मूल्यांकन की आवश्यकता रखता है — मैनुअल, वार्षिक पेनिट्रेशन टेस्ट अब पर्याप्त नहीं हैं।
KENSAI का स्वचालित कमजोरी स्कैनिंग प्लेटफ़ॉर्म संगठनों को सक्षम बनाता है:
NIS2 की तैयारी कर रहे संगठनों के लिए, स्वचालित स्कैनिंग वैकल्पिक नहीं है — यह निर्देश द्वारा आवश्यक "उचित और आनुपातिक" तकनीकी उपायों को प्रदर्शित करने के लिए आवश्यक है।
हाँ। यदि आपका संगठन EU के भीतर या कवर किए गए क्षेत्रों में EU-आधारित संस्थाओं को सेवाएँ प्रदान करता है, तो NIS2 लागू होता है। गैर-EU कंपनियों को EU में एक प्रतिनिधि नियुक्त करना होगा।
NIS2 और GDPR पूरक हैं। GDPR व्यक्तिगत डेटा सुरक्षा पर केंद्रित है; NIS2 नेटवर्क और सूचना प्रणालियों की साइबर सुरक्षा पर केंद्रित है। डेटा उल्लंघन दोनों विनियमों के तहत दायित्वों को सक्रिय कर सकता है। NIS2 यह भी निर्दिष्ट करता है कि NIS2 दंड का आकलन करते समय GDPR जुर्माने पर विचार किया जाना चाहिए।
ISO 27001 एक मजबूत आधार प्रदान करता है, लेकिन इसका स्वचालित रूप से NIS2 अनुपालन नहीं होता। NIS2 की विशिष्ट आवश्यकताएँ हैं (जैसे 24-घंटे की घटना रिपोर्टिंग) जो ISO 27001 से परे जाती हैं। हालाँकि, ISO 27001 प्रमाणन वाले संगठनों को संक्रमण काफी आसान लगेगा।
भले ही राष्ट्रीय रूपांतरण में देरी हो, निर्देश की आवश्यकताएँ स्पष्ट हैं। संगठनों को अभी तैयारी शुरू करनी चाहिए। एक बार राष्ट्रीय कानून प्रभावी होने पर, प्रवर्तन तुरंत शुरू हो सकता है — छूट अवधि नहीं हो सकती।
NIS2 में एक lex specialis प्रावधान शामिल है: जहाँ क्षेत्र-विशिष्ट EU कानून साइबर सुरक्षा आवश्यकताएँ लागू करता है जो कम से कम NIS2 के समकक्ष हैं, वहाँ क्षेत्र-विशिष्ट नियम प्राथमिकता लेते हैं। उदाहरणों में वित्तीय क्षेत्र के लिए DORA शामिल है।
NIS2 एक दूर का नियामक खतरा नहीं है — यह यहाँ है, और पूरे यूरोप में प्रवर्तन तेज़ हो रहा है। जो संगठन तैयारी में देरी करते हैं, वे न केवल नियामक जुर्माने बल्कि अपर्याप्त साइबर सुरक्षा से आने वाली प्रतिष्ठा और परिचालन क्षति का भी जोखिम उठाते हैं।
निर्देश की आवश्यकताएँ व्यापक लेकिन प्राप्त करने योग्य हैं, विशेष रूप से सही उपकरणों और दृष्टिकोण के साथ। अपने दायरे को समझने से शुरू करें, अपनी कमियों का आकलन करें, और व्यवस्थित, निरंतर सुरक्षा उपाय लागू करें।
प्रवर्तन कार्रवाई शुरू होने की प्रतीक्षा न करें। KENSAI का AI-संचालित सुरक्षा प्लेटफ़ॉर्म कमजोरियों की पहचान करने, आपकी अटैक सरफ़ेस का आकलन करने, और NIS2 द्वारा माँगी गई निरंतर सुरक्षा निगरानी प्रदर्शित करने में आपकी सहायता करता है।
👉 kensai.app/free-scan पर अपना निःशुल्क सुरक्षा स्कैन प्राप्त करें — महीनों नहीं, मिनटों में अपना एक्सपोज़र देखें।
मिनटों में अपनी अवसंरचना को कमजोरियों के लिए स्कैन करें — क्रेडिट कार्ड की आवश्यकता नहीं।
निःशुल्क स्कैन शुरू करें →KENSAI Security Research द्वारा प्रकाशित — AI-संचालित साइबर सुरक्षा प्लेटफ़ॉर्म
Get a free security scan of your website in 60 seconds
Free Security Scan →