NIS2 Directive: ইউরোপীয় ইউনিয়নের নতুন সাইবার নিরাপত্তা নির্দেশিকা এবং এর প্রভাব!

NIS2 Directive (Directive (EU) 2022/2555) হলো EU-র cybersecurity-র জন্য একটি horizontal framework যা critical sector-এ minimum security requirement এবং incident reporting obligation নির্ধারণ করে। এটি পুরোনো NIS Directive-কে replace করেছে এবং অনেক বেশি comprehensive ও strict।

NIS2-এর মূল লক্ষ্য কয়েকটি। প্রথমত, EU জুড়ে cybersecurity-র baseline level বাড়ানো। দ্বিতীয়ত, critical সেক্টরে cyber resilience নিশ্চিত করা। তৃতীয়ত, supply chain security strengthening। চতুর্থত, incident response এবং reporting standardize করা। পঞ্চমত, sanction এবং enforcement mechanism কার্যকর করা।

NIS1-এর তুলনায় NIS2-এর উল্লেখযোগ্য পরিবর্তন হলো scope বৃদ্ধি। আগে শুধু "Operators of Essential Services" এবং "Digital Service Providers" cover ছিল। NIS2-এ "Essential Entities" এবং "Important Entities" নামক দুটি category তৈরি হয়েছে যা অনেক বেশি sector এবং organization-কে cover করে।

আরেকটি বড় পরিবর্তন হলো management accountability। NIS2-এ board-level executive-দের সরাসরি responsibility রাখা হয়েছে cybersecurity ব্যর্থতার জন্য। Personal liability-র এই provision compliance-কে শুধু IT department-এর বিষয় থেকে বের করে আনে।

NIS2-এর scope অভূতপূর্ব broad। এটি ১৮টি sector-কে cover করে যা দুটি বড় category-তে বিভক্ত।

Essential Entities-এর মধ্যে রয়েছে Energy (বিদ্যুৎ, তেল, গ্যাস, hydrogen), Transport (air, rail, water, road), Banking, Financial Market Infrastructure, Health (hospital, pharmaceutical), Drinking Water, Wastewater, Digital Infrastructure (DNS, cloud, data center, CDN, ICT service management), Public Administration, এবং Space।

Important Entities-এর মধ্যে রয়েছে Postal এবং Courier Service, Waste Management, Chemical Production, Food Production এবং Distribution, Manufacturing (medical device, computer, electronics, machinery, motor vehicle), Digital Provider (online marketplace, search engine, social network), এবং Research।

Size threshold-ও অন্তর্ভুক্ত। সাধারণত মাঝারি ও বড় enterprise (medium = 50+ employee বা €১০M+ turnover, large = 250+ employee বা €৫০M+ turnover) cover হয়। তবে কিছু sector-এ size irrespective coverage, যেমন DNS provider, qualified trust service provider।

বাংলাদেশের কোনো কোম্পানি যদি EU-তে service provide করে এবং উপরের category-তে পড়ে, তবে তারাও NIS2-এর আওতায় আসতে পারে। এটি extra-territorial application-এর একটি গুরুত্বপূর্ণ দিক।

Microenterprise এবং small enterprise সাধারণত exempted, কিন্তু কিছু critical service-এ exception আছে।

NIS2-এর core requirement কয়েকটি প্রধান area-তে সংগঠিত। Article 21-এ specified cybersecurity risk management measure-এর তালিকা যা সব covered entity-কে implement করতে হবে।

প্রথমত, Risk Analysis এবং Information System Security Policy। প্রতিটি organization-কে comprehensive risk assessment করতে হবে এবং সেই অনুযায়ী security policy তৈরি ও implement করতে হবে।

দ্বিতীয়ত, Incident Handling। সুনির্দিষ্ট incident response process, escalation procedure, এবং documented playbook থাকতে হবে।

তৃতীয়ত, Business Continuity এবং Crisis Management। Backup management, disaster recovery, এবং crisis communication plan।

চতুর্থত, Supply Chain Security। Vendor এবং service provider-এর security posture assess করতে হবে। Third-party risk management একটি critical component।

পঞ্চমত, Network এবং Information System-এর Security in Acquisition, Development, এবং Maintenance। Vulnerability handling, secure coding, এবং patch management।

ষষ্ঠত, Policies and Procedures for Assessing the Effectiveness of Cybersecurity Risk Management Measures। অর্থাৎ security control গুলো কতটা কার্যকর তা নিয়মিত assess করতে হবে।

সপ্তমত, Basic Cyber Hygiene এবং Cybersecurity Training। কর্মীদের জন্য নিয়মিত awareness training।

অষ্টমত, Cryptography এবং Encryption-এর Policy এবং Procedure। যেখানে appropriate সেখানে encryption ব্যবহার করতে হবে।

নবমত, Human Resources Security, Access Control, এবং Asset Management।

দশমত, Multi-Factor Authentication এবং Continuous Authentication। Secure voice, video, এবং text communication। Emergency communication system।

এই দশটি area-র প্রতিটিতে detailed implementation করতে হবে এবং documented evidence থাকতে হবে।

NIS2-এর সবচেয়ে strict aspect হলো incident reporting requirement। Significant incident-এর জন্য একটি staged reporting process আছে।

প্রথম stage - Early Warning। Incident detect হওয়ার ২৪ ঘণ্টার মধ্যে relevant CSIRT বা competent authority-কে notify করতে হবে। এতে initial assessment, suspected illegal activity, এবং potential cross-border impact include থাকতে হবে।

দ্বিতীয় stage - Incident Notification। ৭২ ঘণ্টার মধ্যে আরও detailed assessment, severity, impact, এবং compromised indicator।

তৃতীয় stage - Intermediate Report। Authority-র request-এ অবস্থা update।

চতুর্থ stage - Final Report। Incident handled হওয়ার এক মাসের মধ্যে comprehensive report যাতে detailed cause analysis, mitigation measure, এবং cross-border impact থাকবে।

"Significant incident"-এর definition NIS2 framework-এ দেওয়া আছে। এতে operational disruption, financial loss, large number of user affected, এবং potential extensive material/non-material damage include থাকে।

এই কঠোর reporting timeline meet করতে organization-এর কাছে mature incident response capability এবং clear communication channel থাকতে হবে।

NIS2-এর enforcement mechanism অভূতপূর্ব strict। Essential Entities-এর জন্য maximum administrative fine ১ কোটি ইউরো অথবা global annual turnover-এর ২%, যেটি বেশি। Important Entities-এর জন্য এই amount ৭০ লক্ষ ইউরো অথবা ১.৪%।

এই fine GDPR-এর সাথে comparable এবং business-এর জন্য significant। বড় multinational কোম্পানির জন্য এটি hundreds of millions of euros হতে পারে।

Administrative measure-এর পাশাপাশি management individual liability-র concept যুক্ত হয়েছে। অর্থাৎ board member বা C-level executive-রা personal liability-র সম্মুখীন হতে পারেন যদি they knowingly violate করেন বা negligent থাকেন।

Competent authority-দের investigation power-ও বিস্তৃত - on-site inspection, audit, document request, এবং order issue করার ক্ষমতা।

আবার কিছু non-monetary sanction-ও আছে - certification suspension, public warning, এবং temporary management ban।

NIS2-এর একটি unique focus হলো supply chain security। SolarWinds, Kaseya-র মতো supply chain attack-এর পর এই বিষয়টি বিশেষ মনোযোগ পেয়েছে।

প্রতিটি covered entity-কে তাদের direct supplier এবং service provider-এর cybersecurity practice মূল্যায়ন করতে হবে। Critical service-এ contractual requirement যোগ করতে হবে। Risk-based approach-এ supplier selection করতে হবে।

EU-level-এ coordinated risk assessment-ও NIS2-এর provision। ENISA (European Union Agency for Cybersecurity) এই কাজে central role play করে।

বাংলাদেশের IT service provider যারা EU customer-দের serve করেন, তারা directly NIS2 compliance-এর demand-এর সম্মুখীন হবেন। এর জন্য তাদের নিজস্ব security posture উন্নত করতে হবে।

NIS2-এর কার্যকর হওয়ার পর বিভিন্ন organization-এর উপর তার প্রভাব দেখা যাচ্ছে। অনেক কোম্পানি লক্ষ লক্ষ ইউরো বিনিয়োগ করছে compliance গড়ে তুলতে। CISO position এখন অনেক কোম্পানিতে বাধ্যতামূলক হয়ে উঠেছে।

European Union Agency for Cybersecurity (ENISA) NIS2 implementation-এ central role play করছে। তারা technical guideline, vulnerability database, এবং information sharing platform পরিচালনা করে।

জার্মানি, ফ্রান্স, নেদারল্যান্ডসসহ বিভিন্ন EU member state তাদের national law-এ NIS2 transpose করেছে। Germany-র NIS2-Umsetzungsgesetz, France-র NIS2 implementation, এদের specific local requirement যুক্ত করেছে।

NIS2-এর সাথে EU-এর অন্যান্য regulation interplay করে - GDPR, DORA (Digital Operational Resilience Act), Cyber Resilience Act। এই overlapping framework navigate করা organization-এর জন্য চ্যালেঞ্জিং।

বাংলাদেশের পরিপ্রেক্ষিতে, EU-তে export-oriented IT service company-গুলোকে NIS2 প্রভাবিত করবে। Software outsourcing, BPO service, এবং SaaS provider-দের EU client-দের কাছ থেকে compliance demonstration চাওয়া হবে।

NIS2-এর জন্য কীভাবে প্রস্তুত হবেন? প্রথমত, scope assessment। আপনার organization কি NIS2-এর আওতায় পড়ে? Essential vs. Important entity হিসেবে কী classification?

দ্বিতীয়ত, gap analysis। বর্তমান cybersecurity posture-এর সাথে NIS2 requirement-এর তুলনা করুন। প্রতিটি Article 21 measure-এ current state document করুন।

তৃতীয়ত, governance structure। CISO appoint করুন, board-level cybersecurity committee establish করুন, এবং clear accountability define করুন।

চতুর্থত, risk management framework। NIST CSF, ISO 27001, বা equivalent framework ব্যবহার করে systematic risk management গড়ে তুলুন।

পঞ্চমত, incident response capability। 24/7 SOC বা MSSP arrangement, documented playbook, এবং regular tabletop exercise।

ষষ্ঠত, supply chain assessment। Vendor inventory তৈরি করুন এবং critical vendor-দের security evaluate করুন।

সপ্তমত, documentation এবং evidence। প্রতিটি control-এর implementation evidence থাকতে হবে যা auditor-কে দেখানো যায়।

অষ্টমত, training এবং awareness। সব কর্মচারী, especially board এবং management-এর জন্য cybersecurity training।

নবমত, continuous improvement। NIS2 compliance একবারের event নয়, ongoing process। Regular review এবং update প্রয়োজন।

দশমত, legal এবং consulting support। Complex regulation-এর জন্য specialized expert সহায়তা মূল্যবান।