शोध 12 मिनट पढ़ने का समय

NIS2 निर्देश: यूरोपीय व्यवसायों के लिए संपूर्ण मार्गदर्शिका

NIS2 निर्देश के बारे में वह सब कुछ जो आपको जानना चाहिए: यह किस पर लागू होता है, आवश्यकताएँ, €10M तक के जुर्माने, समय-सीमाएँ, और अनुपालन के लिए अपने संगठन को कैसे तैयार करें।


NIS2 निर्देश: यूरोपीय व्यवसायों के लिए संपूर्ण मार्गदर्शिका

NIS2 निर्देश (Directive (EU) 2022/2555) एक दशक में EU साइबर सुरक्षा विनियमन का सबसे महत्वपूर्ण सुधार है। यदि आपका संगठन यूरोप में संचालित होता है, तो यह कानून साइबर सुरक्षा के प्रति आपके दृष्टिकोण को मौलिक रूप से बदल देगा — और गैर-अनुपालन के लिए दंड गंभीर हैं।

यह मार्गदर्शिका सब कुछ शामिल करती है: NIS2 क्या है, यह किस पर लागू होता है, विशिष्ट आवश्यकताएँ, समय-सीमाएँ, दंड, और अनुपालन प्राप्त करने का एक स्पष्ट रोडमैप।

NIS2 निर्देश क्या है?

NIS2 निर्देश सभी सदस्य देशों में साइबर सुरक्षा के उच्च सामान्य स्तर को सुनिश्चित करने के लिए यूरोपीय संघ का अद्यतन ढाँचा है। यह मूल NIS निर्देश (2016/1148) की जगह लेता है, जिसकी असंगत कार्यान्वयन और आज के खतरे परिदृश्य के लिए बहुत संकीर्ण दायरे के लिए व्यापक रूप से आलोचना की गई थी।

28 नवंबर, 2022 को यूरोपीय संसद द्वारा अपनाया गया, NIS2 अनिवार्य साइबर सुरक्षा दायित्वों के अंतर्गत आने वाले संगठनों की संख्या में नाटकीय रूप से विस्तार करता है। यूरोपीय आयोग ने अनुमान लगाया कि मूल NIS निर्देश ने EU भर में लगभग 15,000 संस्थाओं को कवर किया। NIS2 के तहत, यह संख्या 1,60,000 से अधिक संगठनों तक बढ़ जाती है — दस गुना वृद्धि।

NIS2 क्यों आवश्यक था?

मूल NIS निर्देश ने बहुत सारी कमियाँ छोड़ दीं:

NIS2 सामंजस्यपूर्ण आवश्यकताओं, विस्तारित दायरे, और वास्तविक प्रभाव वाले प्रवर्तन तंत्रों के साथ इन सभी कमियों को संबोधित करता है।

NIS2 किस पर लागू होता है?

NIS2 क्षेत्र-आधारित वर्गीकरण के साथ आकार-सीमा नियम का उपयोग करता है। संगठनों को आवश्यक संस्थाओं या महत्वपूर्ण संस्थाओं के रूप में वर्गीकृत किया जाता है।

आवश्यक संस्थाएँ (अनुलग्नक I — "अत्यधिक महत्वपूर्ण क्षेत्र")

ये क्षेत्र समाज और अर्थव्यवस्था के कामकाज के लिए अत्यावश्यक माने जाते हैं:

महत्वपूर्ण संस्थाएँ (अनुलग्नक II — "अन्य महत्वपूर्ण क्षेत्र")

आकार-सीमा नियम

NIS2 उपरोक्त क्षेत्रों के उन संगठनों पर लागू होता है जो कम से कम एक निम्नलिखित सीमा को पूरा करते हैं:

महत्वपूर्ण अपवाद: कुछ संस्थाएँ आकार की परवाह किए बिना कवर की जाती हैं, जिनमें शामिल हैं: - DNS सेवा प्रदाता - TLD नाम रजिस्ट्री - सार्वजनिक इलेक्ट्रॉनिक संचार नेटवर्क के प्रदाता - ट्रस्ट सेवा प्रदाता - किसी सदस्य देश में सेवा के एकमात्र प्रदाता जो सामाजिक/आर्थिक गतिविधियों के लिए आवश्यक है

आपूर्ति श्रृंखला प्रभाव

भले ही आपका संगठन सीधे NIS2 के अंतर्गत न आता हो, आप आपूर्ति श्रृंखला आवश्यकताओं के माध्यम से प्रभावित हो सकते हैं। आवश्यक और महत्वपूर्ण संस्थाओं को अपनी आपूर्ति श्रृंखलाओं के लिए साइबर सुरक्षा जोखिम प्रबंधन उपाय लागू करने होंगे, जिसका अर्थ है कि वे अनुपालन आवश्यकताओं को विक्रेताओं और भागीदारों तक पहुँचाएंगे।

NIS2 आवश्यकताएँ: आपको क्या करना होगा

NIS2 अनुच्छेद 21 दस न्यूनतम साइबर सुरक्षा जोखिम प्रबंधन उपायों की रूपरेखा तैयार करता है जो सभी कवर की गई संस्थाओं को लागू करने होंगे:

1. जोखिम विश्लेषण और सूचना प्रणाली सुरक्षा नीतियाँ

जोखिम विश्लेषण और सूचना प्रणाली सुरक्षा के लिए व्यापक नीतियाँ स्थापित करें। इसमें नियमित जोखिम मूल्यांकन, प्रलेखित सुरक्षा नीतियाँ, और साइबर सुरक्षा के लिए एक शासन ढाँचा शामिल है।

2. घटना प्रबंधन

साइबर सुरक्षा घटनाओं को रोकने, पता लगाने और उनका जवाब देने की प्रक्रियाएँ लागू करें। इसमें शामिल हैं: - घटना प्रतिक्रिया योजनाएँ - घटना पहचान क्षमताएँ - घटनाओं के दौरान संचार प्रक्रियाएँ

3. व्यवसाय निरंतरता और संकट प्रबंधन

परिचालन लचीलापन सुनिश्चित करें: - बैकअप प्रबंधन - आपदा पुनर्प्राप्ति योजनाएँ - संकट प्रबंधन प्रक्रियाएँ - निरंतरता योजनाओं का नियमित परीक्षण

4. आपूर्ति श्रृंखला सुरक्षा

प्रत्यक्ष आपूर्तिकर्ताओं और सेवा प्रदाताओं के साथ संबंधों में सुरक्षा जोखिमों को संबोधित करें। आपूर्तिकर्ता साइबर सुरक्षा प्रथाओं पर उचित परिश्रम करें और अनुबंधों में सुरक्षा आवश्यकताएँ शामिल करें।

5. नेटवर्क और सूचना प्रणालियों में सुरक्षा

नेटवर्क और सूचना प्रणालियों के अधिग्रहण, विकास और रखरखाव को कवर करने वाले सुरक्षा उपाय लागू करें, जिसमें कमजोरी प्रबंधन और प्रकटीकरण शामिल है।

6. साइबर सुरक्षा जोखिम प्रबंधन मूल्यांकन

साइबर सुरक्षा जोखिम प्रबंधन उपायों की प्रभावशीलता का मूल्यांकन करने के लिए नीतियाँ और प्रक्रियाएँ स्थापित करें। नियमित ऑडिट और मूल्यांकन आवश्यक हैं।

7. बुनियादी साइबर स्वच्छता प्रथाएँ और प्रशिक्षण

साइबर स्वच्छता प्रथाओं को लागू करें और प्रबंधन सहित सभी कर्मचारियों के लिए नियमित साइबर सुरक्षा जागरूकता प्रशिक्षण प्रदान करें।

8. क्रिप्टोग्राफी और एन्क्रिप्शन

ट्रांजिट और रेस्ट में डेटा की सुरक्षा के लिए क्रिप्टोग्राफी और, जहाँ उचित हो, एन्क्रिप्शन के उपयोग के संबंध में नीतियाँ और प्रक्रियाएँ स्थापित करें।

9. मानव संसाधन सुरक्षा और एक्सेस नियंत्रण

उचित एक्सेस नियंत्रण नीतियाँ, संपत्ति प्रबंधन प्रक्रियाएँ, और बहु-कारक प्रमाणीकरण या निरंतर प्रमाणीकरण समाधान लागू करें।

10. सुरक्षित संचार

संगठन के भीतर सुरक्षित वॉइस, वीडियो और टेक्स्ट संचार, और सुरक्षित आपातकालीन संचार प्रणालियों का उपयोग करें।

घटना रिपोर्टिंग आवश्यकताएँ

NIS2 एक बहु-चरणीय घटना रिपोर्टिंग दायित्व प्रस्तुत करता है जो अपने पूर्ववर्ती से काफी अधिक कठोर है:

चरण समय-सीमा आवश्यकता
प्रारंभिक चेतावनी 24 घंटों के भीतर किसी महत्वपूर्ण घटना के बारे में CSIRT या सक्षम प्राधिकरण को सूचित करें
घटना अधिसूचना 72 घंटों के भीतर गंभीरता, प्रभाव और समझौते के संकेतकों सहित प्रारंभिक मूल्यांकन प्रदान करें
मध्यवर्ती रिपोर्ट अनुरोध पर घटना और प्रतिक्रिया उपायों पर स्थिति अद्यतन
अंतिम रिपोर्ट 1 माह के भीतर विस्तृत विवरण, मूल कारण, शमन उपाय, और सीमा-पार प्रभाव

एक महत्वपूर्ण घटना वह परिभाषित की जाती है जो: - गंभीर परिचालन व्यवधान या वित्तीय हानि का कारण बनी हो या बनने में सक्षम हो - अन्य प्राकृतिक या कानूनी व्यक्तियों को प्रभावित कर चुकी हो या करने में सक्षम हो, जिससे काफी भौतिक या गैर-भौतिक क्षति हो

दंड और प्रवर्तन

NIS2 के प्रवर्तन प्रावधान मूल निर्देश से एक कदम आगे हैं:

आवश्यक संस्थाओं के लिए:

महत्वपूर्ण संस्थाओं के लिए:

प्रबंधन जवाबदेही

NIS2 के सबसे महत्वपूर्ण प्रावधानों में से एक अनुच्छेद 20 है, जिसके लिए आवश्यक है: - प्रबंधन निकायों द्वारा साइबर सुरक्षा जोखिम प्रबंधन उपायों को अनुमोदित करना - प्रबंधन निकायों द्वारा इन उपायों के कार्यान्वयन की निगरानी करना - प्रबंधन निकाय के सदस्यों को साइबर सुरक्षा में प्रशिक्षण प्राप्त करना - प्रबंधन को उल्लंघनों के लिए व्यक्तिगत रूप से उत्तरदायी ठहराया जा सकता है

इसका अर्थ है कि साइबर सुरक्षा अब ऐसी चीज़ नहीं है जिसे पूरी तरह से IT विभाग को सौंपा जा सके। बोर्ड के सदस्य और C-suite अधिकारी सीधी जिम्मेदारी वहन करते हैं।

NIS2 रूपांतरण समय-रेखा

निर्देश 16 जनवरी, 2023 को लागू हुआ, और सदस्य देशों को 17 अक्टूबर, 2024 तक इसे राष्ट्रीय कानून में रूपांतरित करना आवश्यक था।

प्रमुख बाजारों में रूपांतरण स्थिति

जर्मनीNIS2-Umsetzungsgesetz (NIS2UmsuCG) में देरी हुई लेकिन 2025 में प्रभावी होने की उम्मीद है। यह अकेले जर्मनी में अनुमानित 29,000 संगठनों को प्रभावित करेगा — मूल KRITIS विनियमन के तहत लगभग 2,000 से बढ़कर। जर्मन कार्यान्वयन कई क्षेत्रों में निर्देश की न्यूनतम आवश्यकताओं से आगे जाता है।

ऑस्ट्रियाNISG 2024 (Netz- und Informationssystemsicherheitsgesetz) उन्नत चरणों में है। ऑस्ट्रिया में लगभग 4,000 संगठनों को कवर करने की उम्मीद है।

स्विट्ज़रलैंड — हालाँकि EU सदस्य नहीं है, स्विट्ज़रलैंड अपने साइबर सुरक्षा ढाँचे को NIS2 सिद्धांतों के साथ संरेखित कर रहा है। संशोधित Informationssicherheitsgesetz (ISG) समान आवश्यकताओं को शामिल करता है, और EU में व्यापार करने वाली स्विस कंपनियों को सीधे NIS2 का पालन करना होगा।

फ्रांस — फ्रांस ने अपने पहले से मजबूत ANSSI ढाँचे पर निर्माण करते हुए निर्देश को काफी हद तक समय पर रूपांतरित किया।

नीदरलैंडWet beveiliging netwerk- en informatiesystemen 2 (Wbni 2) को अंतिम रूप दिया जा रहा है, जो लगभग 10,000 डच संगठनों तक कवरेज का विस्तार करेगा।

NIS2 अनुपालन की तैयारी कैसे करें

चरण 1: निर्धारित करें कि आप दायरे में हैं या नहीं

यह आकलन करने के लिए उपरोक्त क्षेत्र सूचियों और आकार-सीमा थ्रेशोल्ड का उपयोग करें कि आपका संगठन आवश्यक या महत्वपूर्ण संस्था के रूप में योग्य है या नहीं। आपूर्ति श्रृंखला दायित्वों पर विचार करना न भूलें — भले ही आप सीधे दायरे में न हों, आपके ग्राहकों को NIS2-संरेखित सुरक्षा प्रथाओं की आवश्यकता हो सकती है।

चरण 2: गैप विश्लेषण करें

अनुच्छेद 21 में दस न्यूनतम उपायों के विरुद्ध अपनी वर्तमान साइबर सुरक्षा स्थिति की तुलना करें। इनमें कमियाँ पहचानें: - जोखिम प्रबंधन प्रक्रियाएँ - घटना पहचान और प्रतिक्रिया क्षमताएँ - व्यवसाय निरंतरता योजना - आपूर्ति श्रृंखला सुरक्षा प्रथाएँ - कर्मचारी प्रशिक्षण और जागरूकता

चरण 3: अपनी अटैक सरफ़ेस का आकलन करें

आप जो नहीं जानते उसकी रक्षा नहीं कर सकते। अपनी बाहरी अटैक सरफ़ेस का गहन मूल्यांकन करें, जिसमें शामिल हैं: - वेब अनुप्रयोग और APIs - क्लाउड सेवाएँ और अवसंरचना - तृतीय-पक्ष एकीकरण - इंटरनेट एक्सपोज़र वाले लीगेसी सिस्टम

KENSAI स्वचालित, AI-संचालित अटैक सरफ़ेस स्कैनिंग प्रदान करता है जो आपकी संपूर्ण बाहरी उपस्थिति को मैप करती है और हमलावरों से पहले कमजोरियों की पहचान करती है। पारंपरिक पॉइंट-इन-टाइम मूल्यांकनों के विपरीत, KENSAI निरंतर स्कैनिंग प्रदान करता है जो NIS2 की निरंतर जोखिम प्रबंधन आवश्यकता के साथ संरेखित है।

चरण 4: तकनीकी नियंत्रण लागू करें

अपने गैप विश्लेषण के आधार पर, आवश्यक तकनीकी नियंत्रण तैनात करें: - नेटवर्क सेगमेंटेशन और मॉनिटरिंग - एंडपॉइंट डिटेक्शन और रिस्पॉन्स (EDR) - बहु-कारक प्रमाणीकरण - ट्रांजिट और रेस्ट में डेटा के लिए एन्क्रिप्शन - नियमित स्कैनिंग के साथ कमजोरी प्रबंधन - वेब अनुप्रयोग फ़ायरवॉल और API सुरक्षा

चरण 5: शासन और प्रलेखन स्थापित करें

NIS2 के लिए प्रलेखित नीतियों और प्रक्रियाओं की आवश्यकता है। न्यूनतम रूप से, आपको चाहिए: - सूचना सुरक्षा नीति - जोखिम मूल्यांकन कार्यप्रणाली और रिपोर्ट - घटना प्रतिक्रिया योजना - व्यवसाय निरंतरता और आपदा पुनर्प्राप्ति योजनाएँ - आपूर्ति श्रृंखला सुरक्षा नीति - प्रशिक्षण रिकॉर्ड

चरण 6: घटना प्रतिक्रिया क्षमताएँ तैयार करें

24-घंटे की प्रारंभिक चेतावनी आवश्यकता का अर्थ है कि आपको चाहिए: - 24/7 मॉनिटरिंग क्षमताएँ (या आउटसोर्स SOC सेवाएँ) - पूर्व-परिभाषित घटना वर्गीकरण मानदंड - CSIRT अधिसूचना के लिए संचार टेम्पलेट - स्पष्ट भूमिकाओं वाली नामित घटना प्रतिक्रिया टीम

चरण 7: अपने लोगों को प्रशिक्षित करें

NIS2 प्रबंधन निकायों और कर्मचारियों के लिए साइबर सुरक्षा प्रशिक्षण अनिवार्य करता है। लागू करें: - सभी कर्मचारियों के लिए नियमित सुरक्षा जागरूकता प्रशिक्षण - उनकी निगरानी जिम्मेदारियों पर प्रबंधन के लिए विशिष्ट प्रशिक्षण - IT और सुरक्षा कर्मचारियों के लिए तकनीकी प्रशिक्षण - फ़िशिंग सिमुलेशन और सुरक्षा अभ्यास

चरण 8: अपनी आपूर्ति श्रृंखला को संलग्न करें

अपने आपूर्तिकर्ता संबंधों की समीक्षा करें और: - महत्वपूर्ण आपूर्तिकर्ताओं की साइबर सुरक्षा स्थिति का आकलन करें - प्रोक्योरमेंट मानदंड और अनुबंधों में सुरक्षा आवश्यकताएँ शामिल करें - प्रमुख आपूर्तिकर्ताओं के साथ सूचना-साझाकरण तंत्र स्थापित करें - निरंतर आधार पर आपूर्तिकर्ता सुरक्षा की निगरानी करें

NIS2 और स्वचालित सुरक्षा परीक्षण

NIS2 की निरंतर जोखिम प्रबंधन आवश्यकताओं को पूरा करने के सबसे प्रभावी तरीकों में से एक स्वचालित सुरक्षा परीक्षण है। निर्देश स्पष्ट रूप से कमजोरी प्रबंधन और साइबर सुरक्षा उपायों के नियमित मूल्यांकन की आवश्यकता रखता है — मैनुअल, वार्षिक पेनिट्रेशन टेस्ट अब पर्याप्त नहीं हैं।

KENSAI का स्वचालित कमजोरी स्कैनिंग प्लेटफ़ॉर्म संगठनों को सक्षम बनाता है:

NIS2 की तैयारी कर रहे संगठनों के लिए, स्वचालित स्कैनिंग वैकल्पिक नहीं है — यह निर्देश द्वारा आवश्यक "उचित और आनुपातिक" तकनीकी उपायों को प्रदर्शित करने के लिए आवश्यक है।

अक्सर पूछे जाने वाले प्रश्न

क्या NIS2 गैर-EU कंपनियों पर लागू होता है?

हाँ। यदि आपका संगठन EU के भीतर या कवर किए गए क्षेत्रों में EU-आधारित संस्थाओं को सेवाएँ प्रदान करता है, तो NIS2 लागू होता है। गैर-EU कंपनियों को EU में एक प्रतिनिधि नियुक्त करना होगा।

NIS2 और GDPR के बीच क्या संबंध है?

NIS2 और GDPR पूरक हैं। GDPR व्यक्तिगत डेटा सुरक्षा पर केंद्रित है; NIS2 नेटवर्क और सूचना प्रणालियों की साइबर सुरक्षा पर केंद्रित है। डेटा उल्लंघन दोनों विनियमों के तहत दायित्वों को सक्रिय कर सकता है। NIS2 यह भी निर्दिष्ट करता है कि NIS2 दंड का आकलन करते समय GDPR जुर्माने पर विचार किया जाना चाहिए।

क्या हम NIS2 अनुपालन के लिए मौजूदा ISO 27001 प्रमाणन का उपयोग कर सकते हैं?

ISO 27001 एक मजबूत आधार प्रदान करता है, लेकिन इसका स्वचालित रूप से NIS2 अनुपालन नहीं होता। NIS2 की विशिष्ट आवश्यकताएँ हैं (जैसे 24-घंटे की घटना रिपोर्टिंग) जो ISO 27001 से परे जाती हैं। हालाँकि, ISO 27001 प्रमाणन वाले संगठनों को संक्रमण काफी आसान लगेगा।

यदि हमारे सदस्य देश ने अभी तक NIS2 का रूपांतरण नहीं किया है तो?

भले ही राष्ट्रीय रूपांतरण में देरी हो, निर्देश की आवश्यकताएँ स्पष्ट हैं। संगठनों को अभी तैयारी शुरू करनी चाहिए। एक बार राष्ट्रीय कानून प्रभावी होने पर, प्रवर्तन तुरंत शुरू हो सकता है — छूट अवधि नहीं हो सकती।

NIS2 क्षेत्र-विशिष्ट विनियमों के साथ कैसे इंटरैक्ट करता है?

NIS2 में एक lex specialis प्रावधान शामिल है: जहाँ क्षेत्र-विशिष्ट EU कानून साइबर सुरक्षा आवश्यकताएँ लागू करता है जो कम से कम NIS2 के समकक्ष हैं, वहाँ क्षेत्र-विशिष्ट नियम प्राथमिकता लेते हैं। उदाहरणों में वित्तीय क्षेत्र के लिए DORA शामिल है।

सार

NIS2 एक दूर का नियामक खतरा नहीं है — यह यहाँ है, और पूरे यूरोप में प्रवर्तन तेज़ हो रहा है। जो संगठन तैयारी में देरी करते हैं, वे न केवल नियामक जुर्माने बल्कि अपर्याप्त साइबर सुरक्षा से आने वाली प्रतिष्ठा और परिचालन क्षति का भी जोखिम उठाते हैं।

निर्देश की आवश्यकताएँ व्यापक लेकिन प्राप्त करने योग्य हैं, विशेष रूप से सही उपकरणों और दृष्टिकोण के साथ। अपने दायरे को समझने से शुरू करें, अपनी कमियों का आकलन करें, और व्यवस्थित, निरंतर सुरक्षा उपाय लागू करें।


आज ही अपनी NIS2 अनुपालन यात्रा शुरू करें

प्रवर्तन कार्रवाई शुरू होने की प्रतीक्षा न करें। KENSAI का AI-संचालित सुरक्षा प्लेटफ़ॉर्म कमजोरियों की पहचान करने, आपकी अटैक सरफ़ेस का आकलन करने, और NIS2 द्वारा माँगी गई निरंतर सुरक्षा निगरानी प्रदर्शित करने में आपकी सहायता करता है।

👉 kensai.app/free-scan पर अपना निःशुल्क सुरक्षा स्कैन प्राप्त करें — महीनों नहीं, मिनटों में अपना एक्सपोज़र देखें।

KENSAI निःशुल्क आज़माएँ

मिनटों में अपनी अवसंरचना को कमजोरियों के लिए स्कैन करें — क्रेडिट कार्ड की आवश्यकता नहीं।

निःशुल्क स्कैन शुरू करें →

KENSAI Security Research द्वारा प्रकाशित — AI-संचालित साइबर सुरक्षा प्लेटफ़ॉर्म

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home