Αυστηρότερα πρότυπα στην επιλογή λογισμικού, προκειμένου να διασφαλιστεί η ασφάλεια των υποδομών IT, φέρνει η Οδηγία NIS2, που εγκρίθηκε από την Ευρωπαϊκή Ένωση τον Δεκέμβριο του 2022, έχοντας ως στόχο την ενίσχυση της κυβερνοασφάλειας σε κρίσιμες υποδομές και επιχειρήσεις. Από τις 18 Οκτωβρίου 2024, που τα κράτη-μέλη οφείλουν να έχουν ενσωματώσει στο εθνικό τους Δίκαιο της ΝIS2, οι επιλογές για τις IT υποδομές και τις στρατηγικές επιλογής λογισμικού των επιχειρήσεων έχουν επηρεαστεί σημαντικά, σύμφωνα με την εταιρεία Forscope.

“Η συμμόρφωση απαιτεί μια προληπτική προσέγγιση, με έμφαση στην ασφάλεια, την επικαιροποίηση των συστημάτων και την προστασία έναντι κυβερνοαπειλών. Οι επιχειρήσεις, που θα προσαρμοστούν έγκαιρα, θα μειώσουν τους κινδύνους και θα ενισχύσουν τη θωράκιση των πληροφοριακών τους συστημάτων απέναντι στις σύγχρονες απειλές”, αναφέρει η εταιρεία.

Η NIS2 επιβάλλει αυστηρότερα πρότυπα στην επιλογή λογισμικού, προκειμένου να διασφαλιστεί η ασφάλεια των υποδομών IT

Όπως παρατηρεί σε ειδικό report, η NIS2 επιβάλλει αυστηρότερα πρότυπα στην επιλογή λογισμικού, προκειμένου να διασφαλιστεί η ασφάλεια των υποδομών IT. Ένας από τους κρίσιμους παράγοντες είναι η επιλογή λογισμικού, που υποστηρίζεται ενεργά από τον κατασκευαστή. Τα δευτερογενή λογισμικά, που συχνά προσφέρουν εξοικονόμηση κόστους έως 70%, πρέπει να πληρούν αυστηρά κριτήρια συμμόρφωσης.

Οι οργανισμοί καλούνται να διασφαλίσουν ότι χρησιμοποιούν λογισμικό, για το οποίο παρέχονται ενημερώσεις ασφαλείας. Ειδικότερα, είναι σημαντικό να αποφεύγεται η χρήση προϊόντων των οποίων ο κύκλος ζωής έχει λήξει, καθώς δεν λαμβάνουν πλέον κρίσιμες ενημερώσεις ασφαλείας.

Πεδίο εφαρμογής και αυστηρότερες απαιτήσεις

Η NIS2 καλύπτει περισσότερους τομείς από την προκάτοχό της, συμπεριλαμβανομένων της δημόσιας διοίκησης, των μεταφορών, της υγείας, της διαχείρισης αποβλήτων και της βιομηχανίας. Επιπλέον, διακρίνει τις επιχειρήσεις σε “βασικές” και “σημαντικές” οντότητες, με τις πρώτες να υπόκεινται σε αυστηρότερους ελέγχους.

Η συμμόρφωση με τη νέα οδηγία απαιτεί από τις επιχειρήσεις να εφαρμόσουν αυξημένα μέτρα κυβερνοασφάλειας, να αναπτύξουν μηχανισμούς διαχείρισης κινδύνου και να αναφέρουν περιστατικά κυβερνοεπιθέσεων εντός αυστηρών χρονικών προθεσμιών. Η αδυναμία συμμόρφωσης μπορεί να οδηγήσει σε σοβαρές κυρώσεις, συμπεριλαμβανομένων προστίμων και νομικών συνεπειών.

Επιπτώσεις στην επιλογή λογισμικού

Όπως επισημαίνεται, ο κύκλος ζωής ενός λογισμικού περιλαμβάνει τέσσερις βασικές φάσεις: Πλήρης υποστήριξη – Παρέχονται όλες οι ενημερώσεις και υποστήριξη από τον κατασκευαστή, Εκτεταμένη υποστήριξη – Διατίθενται μόνο ενημερώσεις ασφάλειας, χωρίς αλλαγές στη λειτουργικότητα, Μετά την υποστήριξη – Οι ενημερώσεις παρέχονται έναντι πρόσθετης χρέωσης και Απουσία υποστήριξης – Το λογισμικό δεν προστατεύεται πλέον από τον κατασκευαστή.

“Οι επιχειρήσεις, που χρησιμοποιούν λογισμικό στις τελευταίες δύο φάσεις, διατρέχουν αυξημένο κίνδυνο κυβερνοεπιθέσεων. Εναλλακτικά, μπορούν να υιοθετήσουν λύσεις, που ενισχύουν την ασφάλεια παλαιότερων λογισμικών μέσω ειδικών παρόχων”, αναφέρει η Forscope.

Όπως τονίζει, εκτός από την επιλογή του κατάλληλου λογισμικού, οι οργανισμοί πρέπει να εφαρμόσουν επιπρόσθετα μέτρα προστασίας, όπως ισχυρούς κωδικοί πρόσβασης, εκπαίδευση προσωπικού, τακτικά αντίγραφα ασφαλείας και φυσική ασφάλεια IT υποδομών.