2026. gada 12. jūlijs

NIS2 un autentifikācija: kas jāmaina būtiskajām un svarīgajām vienībām

NIS2 padara stipru autentifikāciju par juridisku pienākumu ar valdes atbildību. Ko direktīva sagaida no pieteikšanās un kā novērst plaisu.

Termiņš jau ir pagājis. NIS2, Eiropas Savienības atjauninātā kiberdrošības direktīva, visā Savienībā bija jāpārņem nacionālajos tiesību aktos līdz 2024. gada 17. oktobrim. Ja jūsu organizācija sniedz būtiskus pakalpojumus vai ir nozīmīgs spēlētājs kādā no aptvertajām nozarēm, jautājums vairs nav par to, vai noteikumi attiecas uz jums; jautājums ir par to, vai spējat uzraudzības iestādei pierādīt, ka jūsu piekļuves kontroles tiem atbilst. Un pirmo reizi šis jautājums gulstas uz vadības valdi, ne tikai uz IT nodaļu.

Autentifikācija tagad ir ierakstīta likumā, ne tikai vadlīnijās

Agrākie labās prakses ietvari daudzfaktoru autentifikāciju ieteica. NIS2 iet tālāk. Tās pamata riska pārvaldības pasākumi (21. pants) prasa organizācijām ieviest tehniskās kontroles, tostarp piekļuves kontroles politikas, kriptogrāfiju un — skaidri norādot — daudzfaktoru autentifikācijas vai nepārtrauktas autentifikācijas risinājumu izmantošanu, kur tas nepieciešams.

Praksē vājš vai neobligāts otrais faktors vairs nav aizstāvama pozīcija. Ja auditors jautā, kā priviliģēts administrators piesakās jūsu VPN, Windows serveros vai pārvaldības konsolē, atbilde “ar paroli un dažreiz ar SMS kodu” ir tā, kas noved pie audita atzinuma par neatbilstību.

Uz ko tas attiecas

NIS2 iedala organizācijas būtiskajās un svarīgajās vienībās plašā nozaru lokā: enerģētika, transports, banku un finanšu tirgus infrastruktūra, veselības aprūpe, dzeramais ūdens un notekūdeņi, digitālā infrastruktūra, valsts pārvalde un citas, ar otru līmeni, kas ietver pasta pakalpojumus, atkritumu apsaimniekošanu, ražošanu, pārtiku, ķīmiskās vielas un digitālos pakalpojumu sniedzējus. Daudzas organizācijas, kas atradās ārpus sākotnējās NIS direktīvas, tagad ir stingri tās pēcteces ietvaros.

Divas izmaiņas paceļ šo augstāk par ķeksīti atbilstības sarakstā:

  • Vadības atbildība. Valdēm ir jāapstiprina un jāpārrauga kiberdrošības riska pārvaldības pasākumi, un tās var saukt pie personiskas atbildības par neizdošanos.
  • Reāli sodi. Uzraudzības iestādes var piemērot ievērojamus naudas sodus: būtiskajām vienībām līdz 10 miljoniem eiro vai 2 % no globālā gada apgrozījuma, atkarībā no tā, kura summa ir lielāka.

Kā patiesībā izskatās “NIS2 līmeņa” autentifikācija

Kaut kāda MFA esamība nav tas pats, kas atbilstība direktīvas jēgai. Trīs lietas atšķir kontroli, kas apmierina auditoru, no tādas, kura tikai labi izskatās prezentācijā:

  • Noturība pret pikšķerēšanu. SMS kodus var pārtvert vai apmānīt ar SIM kartes maiņu, un gan tie, gan vienkāršs vienpieskāriena push paziņojums padodas starpnieka (adversary-in-the-middle) pārsūtīšanas uzbrukumam. Atslēga, kas piesaistīta aparatūrai lietotāja ierīces iekšienē, tāda, ko nevar ne nokopēt, ne atkārtoti nosūtīt, novērš šo riska klasi. Push nogurums ir atsevišķa problēma, un neviena atslēga vai biometrija to neaptur, tiklīdz pieprasījums sasniedz tālruni: to var uzvarēt vienīgi ar to, ko pieprasījums parāda: precīzu, salasāmu aprakstu tieši par to, kas tiek apstiprināts, tā ka nekas nekad netiek apstiprināts akli.
  • Priviliģētās un attālinātās piekļuves aptvērums. Prasība nav “MFA uz tīmekļa pastu”. Tā ir katrs ceļš, ko uzbrucējs patiešām izmantotu: VPN, attālinātā darbvirsma, serveru pieteikšanās, administratora konsoles.
  • Pierādījumi. NIS2 tikpat lielā mērā ir par kontroles pierādīšanu, cik par tās esamību. Katrai autentifikācijai jāatstāj auditējams, pret viltojumiem aizsargāts ieraksts par to, kas ko apstiprināja un kad.

Kur iederas Notakey

Notakey ir veidots tieši šādam organizāciju profilam: regulētam, uz drošību orientētam un atbildīgam auditoru priekšā.

  • Lietotāja atslēga tiek ģenerēta tālruņa drošajā aparatūrā un nekad to nepamet. Nav koplietota noslēpuma, ko nozagt, un nekā, ko pikšķerēt.
  • Katra pieteikšanās un katrs darījums ir kriptogrāfiski parakstīts, laika zīmogu saturošs notikums: audita pēdas, ko prasa NIS2 novērtējums, tiek radītas automātiski, nevis rekonstruētas pēc fakta.
  • Tas aptver piekļuves ceļus, kas ir svarīgi, izmantojot protokolus, kurus jūsu sistēmas jau lieto. Skatiet praktiskos ceļvežus par 2FA VPN, izmantojot RADIUS, Windows attālinātās darbvirsmas savienojumu un Linux SSH.
  • Tas darbojas jūsu pašu infrastruktūrā vai mākonī, tāpēc autentifikācijas dati var palikt jūsu kontrolē, ar iebūvētu, nevis pēcāk piedēvētu atbilstību PSD2, eIDAS un VDAR.

Mēs apzināti nesolīsim, ka Notakey “padara jūs atbilstošu NIS2”; neviens produkts to viens pats nedara. Ko tas dara, ir aizvērt autentifikācijas veidoto plaisas daļu un nodot jums pierādījumus, ar ko to apliecināt.

Sāciet ar izmēģinājumu, nevis politikas dokumentu

Ātrākais veids, kā noskaidrot, vai jūsu autentifikācija atbilst NIS2, ir to pārbaudīt savā vidē: reāls VPN, reāla administratora pieteikšanās, saujiņa reālu lietotāju. Tas nedēļā pastāstīs par jūsu plaisu — un jūsu pierādījumiem — vairāk nekā funkciju saraksts ceturksnī.

Izmēģiniet tiešsaistes demonstrāciju, lai kādu darījumu parakstītu no sava tālruņa aptuveni divās minūtēs, vai pieprasiet demonstrāciju, un mēs izplānosim jūsu VPN, SSO vai Windows piekļuvi strādājošā izmēģinājumā.


Šis raksts ir vispārīga informācija, nevis juridiska konsultācija. NIS2 katra ES dalībvalsts atsevišķi pārņem savos nacionālajos tiesību aktos; precīzos pienākumus, robežvērtības un termiņus, kas attiecas uz jūsu organizāciju, apstipriniet ar kvalificētu juristu.

← Visi raksti

Pirmā pieteikšanās bez paroles — jau šonedēļ

30 minūšu saruna ar inženieri, nevis pārdošanas prezentācija. Kopīgi izplānosim, kā jūsu VPN, SSO vai Windows vidē palaist strādājošu pilotprojektu.