NAKIVO > Blog > Multiplatform

Hướng dẫn chi tiết về Chỉ thị NIS 2: Nâng cao các tiêu chuẩn an ninh mạng của Liên minh Châu Âu

Updated: Tháng Năm 26, 2026

Tác giả:: Đội ngũ NAKIVO

Theo Cơ quan An ninh Mạng của Liên minh Châu Âu, năm 2022, chi phí trung bình cho mỗi sự cố CNTT tại EU là 200.000 euro. Với tốc độ gia tăng 150% mỗi năm về số lượng các mối đe dọa mạng và khoảng 280 vụ tấn công bằng phần mềm tống tiền mỗi tháng, những chi phí này dự kiến sẽ tiếp tục tăng cao. Bối cảnh mối đe dọa mạng không ngừng thay đổi đòi hỏi các tổ chức EU phải có khả năng phục hồi mạnh mẽ hơn và nhận thức rủi ro tốt hơn, dẫn đến việc ban hành luật an ninh mạng mới của EU – Chỉ thị NIS2.

Bài đăng này đề cập đến các yêu cầu của Chỉ thị NIS2 và tác động của chúng đối với bối cảnh kỹ thuật số của EU. Chúng tôi cũng sẽ tìm hiểu cách giải pháp của NAKIVO có thể giúp bạn bảo vệ dữ liệu trong môi trường tuân thủ NIS2.

Đảm bảo tính sẵn sàng với NAKIVO

Đảm bảo tính sẵn sàng với NAKIVO

Đáp ứng các yêu cầu khắt khe về tính sẵn sàng của dịch vụ trong các hạ tầng ảo. Đạt được các mục tiêu về thời gian hoạt động liên tục nhờ các tính năng điều phối và tự động hóa DR mạnh mẽ.

KHÁM PHÁ GIẢI PHÁP

NIS2 là gì?

NIS2 là một Chỉ thị về An ninh Mạng ( Chỉ thị số 2022/2555 của Liên minh Châu Âu về An ninh Mạng và Thông tin ) được công bố chính thức vào tháng 12 năm 2022 và có hiệu lực từ đầu năm 2023. NIS2 nhằm mục đích tiêu chuẩn hóa và nâng cao an ninh mạng trên toàn Liên minh Châu Âu (EU). Chỉ thị này thay thế Chỉ thị NIS1 trước đó, có hiệu lực từ năm 2016.

Khác với các quy định có hiệu lực trực tiếp như Đạo luật về Khả năng phục hồi hoạt động kỹ thuật số (DORA), vốn áp dụng thống nhất trên toàn bộ các quốc gia thành viên EU, các chỉ thị phải được từng quốc gia chuyển hóa thành luật quốc gia riêng biệt. Các quốc gia thành viên có thời hạn đến tháng 10 năm 2024 để ban hành và công bố tất cả các biện pháp cần thiết để tuân thủ NIS2. Sau thời hạn này, các tổ chức sẽ có nghĩa vụ pháp lý phải tuân thủ.

Mục tiêu của Chỉ thị NIS2

Chỉ thị NIS2 nhằm nâng cao các tiêu chuẩn an ninh mạng hiện tại và thiết lập một tiêu chuẩn mới về khả năng chống chịu của các tổ chức EU trước các mối đe dọa kỹ thuật số.

Chỉ thị tập trung vào bốn khía cạnh chính:

  • Tăng cường an ninh số thông qua các yêu cầu mới về quản lý rủi ro, trách nhiệm của doanh nghiệp và duy trì hoạt động kinh doanh.
  • Giảm thiểu sự không nhất quán trong an ninh mạng trên toàn EU bằng cách mở rộng phạm vi áp dụng của Chỉ thị và bao gồm nhiều lĩnh vực hơn.
  • Khuyến khích nhận thức tình hình và hợp tác trong nước và xuyên biên giới để giải quyết hiệu quả các sự cố an ninh mạng hiện có và các mối đe dọa mới.
  • Giới thiệu các nghĩa vụ báo cáo tiêu chuẩn trong các sự cố để nâng cao tính minh bạch và tạo điều kiện cho phản ứng phối hợp.

Những điểm khác biệt chính giữa Chỉ thị NIS ban đầu và NIS 2

Mặc dù NIS1 nhằm mục đích nâng cao an ninh mạng và khả năng phục hồi của Liên minh Châu Âu, nhưng quá trình số hóa nhanh chóng và các mối đe dọa ngày càng phức tạp trong và sau đại dịch đã bộc lộ những thiếu sót của nó, đặc biệt là sự thiếu hụt các yêu cầu cụ thể và việc triển khai không đồng đều trên toàn EU.

Đề xuất cập nhật Chỉ thị NIS lần đầu tiên được công bố vào năm 2020 và nêu rõ sự cần thiết phải mở rộng phạm vi, nâng cao tiêu chuẩn an ninh mạng, đưa ra các yêu cầu mới và áp dụng cách tiếp cận thống nhất hơn.

So với NIS1, chỉ thị mới:

  • mở rộng đáng kể phạm vi ban đầu bằng cách bổ sung thêm các lĩnh vực và đưa ra một hệ thống phân loại mới dựa trên vai trò của tổ chức trong nền kinh tế số của một quốc gia
  • đưa ra các yêu cầu nghiêm ngặt hơn về an ninh và quản lý rủi ro kèm theo danh sách các biện pháp an ninh tối thiểu cần triển khai
  • áp dụng Kế hoạch duy trì hoạt động kinh doanh trong trường hợp xảy ra các sự cố mạng nghiêm trọng
  • yêu cầu việc báo cáo sự cố nghiêm ngặt hơn
  • quy định các mức phạt đối với vi phạm và các biện pháp thi hành mạnh mẽ hơn
  • áp dụng giám sát quy định, bao gồm kiểm tra tại chỗ và từ xa, kiểm toán đột xuất và quét bảo mật
  • yêu cầu ban quản lý chịu trách nhiệm về việc không tuân thủ và cho phép các cơ quan chức năng yêu cầu tạm ngừng hoạt động
  • nhấn mạnh an ninh chuỗi cung ứng như một khía cạnh quan trọng của an ninh mạng tổng thể.

Phạm vi mở rộng của các quy định an ninh mạng EU

NIS2 mở rộng phạm vi của NIS ban đầu hơn gấp đôi. Nó cũng thay thế sự phân biệt trước đây giữa “nhà điều hành dịch vụ thiết yếu” và “nhà cung cấp dịch vụ kỹ thuật số” bằng Thiết yếu Quan trọng các danh mục dựa trên quy mô tổ chức và ngưỡng doanh thu.

Trái ngược với GDPR, NIS2 đặt ra tiêu chí hẹp hơn cho các tổ chức thuộc phạm vi áp dụng vì Chỉ thị này chỉ áp dụng cho những tổ chức cung cấp dịch vụ hoặc thực hiện hoạt động tại EU. Ví dụ, nếu một công ty quốc tế có chi nhánh tại EU, chỉ chi nhánh đó mới thuộc phạm vi áp dụng của NIS2. Tuy nhiên, có một điểm cần lưu ý. Do yêu cầu nghiêm ngặt hơn về thẩm định chuỗi cung ứng, các công ty ngoài EU vẫn có thể bị ảnh hưởng.

Các ngành và thực thể thuộc phạm vi áp dụng của Chỉ thị

Phạm vi áp dụng của NIS2 được quy định tại Phụ lục I (các ngành cực kỳ quan trọng có thể được phân loại là Thiết yếu hoặc Quan trọng) và Phụ lục II (Quan trọng).

Phạm vi của NIS1 đã bao gồm phần lớn các ngành được quy định trong Phụ lục I, chẳng hạn như:

  • Năng lượng
  • Giao thông vận tải
  • Y tế
  • Nước uống
  • Cơ sở hạ tầng thị trường tài chính
  • Ngân hàng
  • Cơ sở hạ tầng kỹ thuật số

Các ngành mới được bổ sung vào phạm vi của Chỉ thị NIS2 trong Phụ lục I như sau:

  • Không gian
  • Nước thải
  • Quản lý dịch vụ công nghệ thông tin và truyền thông (ICT)
  • Quản lý hành chính công

Tùy thuộc vào loại hình, quy mô và doanh thu của tổ chức, các tổ chức thuộc Phụ lục I có thể được phân loại thành:

  • Cơ bản, nếu sự gián đoạn hoạt động của chúng có thể dẫn đến hậu quả nghiêm trọng cho đất nước:
    • các công ty lớn có hơn 250 nhân viên hoặc doanh thu hàng năm trên 50 triệu euro
    • các cơ quan hành chính công của chính phủ trung ương
    • các nhà khai thác dịch vụ thiết yếu
    • các công ty khác do một quốc gia thành viên lựa chọn
  • Quan trọng :
    • các công ty có hơn 50 nhân viên hoặc doanh thu hàng năm trên 10 triệu euro
    • các công ty khác do một quốc gia thành viên lựa chọn

Các yêu cầu bảo mật tương tự áp dụng cho cả hai loại. Tuy nhiên, nhóm “Essential” nằm dưới sự giám sát chủ động, trong khi nhóm “Important” chỉ được giám sát khi có báo cáo về vi phạm. Đối với các tổ chức thuộc nhóm “Essential”, cơ quan chức năng có thể áp dụng mức phạt vi phạm cao hơn và thậm chí tạm thời cấm thực hiện các nhiệm vụ quản lý.

Phụ lục II bổ sung thêm các ngành, tất cả đều thuộc nhóm “Important”:

  • Dịch vụ bưu chính và chuyển phát nhanh
  • Thực phẩm
  • Hóa chất
  • Nhà sản xuất
  • Nhà cung cấp dịch vụ số
  • Quản lý chất thải
  • Nghiên cứu
  • Dịch vụ đăng ký tên miền

Chỉ thị cho phép các quốc gia thành viên thiết lập danh sách quốc gia về các tổ chức “Important” và “Essential”, bất kể ngưỡng doanh thu và quy mô, nếu tác động của chúng đối với nền kinh tế quốc gia là quan trọng, hoặc nếu công ty là nhà cung cấp duy nhất của một số dịch vụ. Mỗi quốc gia thành viên được kỳ vọng sẽ lập danh sách như vậy trước tháng 4 năm 2025.

Nghĩa vụ đối với các doanh nghiệp vừa và nhỏ (SME)

Hầu hết các doanh nghiệp vừa có từ 50 nhân viên trở lên và doanh thu hàng năm từ 10 triệu euro trở lên được coi là Quan trọng hoặc Thiết yếu tùy thuộc vào ngành.

Các công ty nhỏ hơn nằm ngoài phạm vi áp dụng trừ khi chúng thuộc danh sách quốc gia về các thực thể Thiết yếu và Quan trọng hoặc thuộc các ngành sau:

  • Cơ sở hạ tầng kỹ thuật số
    • Nhà cung cấp dịch vụ DNS
    • Nhà cung cấp dịch vụ tin cậy
    • Cơ quan đăng ký tên miền cấp cao nhất (TLD)
    • Nhà cung cấp mạng truyền thông điện tử công cộng và dịch vụ truyền thông công cộng
  • Các cơ quan hành chính công

Mặc dù việc tuân thủ có thể đòi hỏi các khoản đầu tư bổ sung, nhưng các nguyên tắc về tính phù hợp và tính tương xứng của NIS2 của EU giúp các doanh nghiệp vừa và nhỏ (SME) áp dụng các biện pháp an ninh mạng dù nguồn lực còn hạn chế. Ví dụ, các doanh nghiệp vừa và nhỏ có thể tập trung vào quản lý rủi ro và nâng cao nhận thức về an ninh mạng thông qua việc tổ chức đào tạo nhân viên định kỳ.

Hãy cùng tìm hiểu chi tiết hơn về các biện pháp an ninh dưới đây.

Quản lý rủi ro an ninh mạng theo NIS 2

Quản lý rủi ro và chính sách an ninh

Do bối cảnh kỹ thuật số thay đổi nhanh hơn so với tốc độ cập nhật của pháp luật, Chỉ thị NIS2 yêu cầu một “tiêu chuẩn tiên tiến” , buộc các tổ chức phải áp dụng các biện pháp an ninh phù hợp, tương xứng và tiết kiệm dựa trên nhu cầu và khả năng cụ thể của họ. Khi đánh giá tính phù hợp của các biện pháp an ninh, các tổ chức nên xem xét mức độ tiếp xúc với rủi ro, quy mô của tổ chức, khả năng xảy ra và mức độ nghiêm trọng của các sự cố an ninh cũng như chi phí triển khai.

Các tổ chức nên triển khai các biện pháp mới nhất và hiệu quả nhất có sẵn tại thời điểm đó để ngăn chặn hoặc giảm thiểu các sự cố CNTT và tác động của chúng đối với hoạt động của tổ chức. Tuy nhiên, Chỉ thị không bắt buộc các tổ chức phải đảm bảo an ninh mạng bằng mọi giá và nhấn mạnh tầm quan trọng của việc đánh giá rủi ro và an ninh liên tục để duy trì “tiêu chuẩn tiên tiến nhất”.

Các yêu cầu an ninh mạng của NIS2 tập trung vào cách tiếp cận dựa trên rủi ro (“tất cả các mối nguy”) (Điều 21) và khuyến khích các tổ chức thường xuyên đánh giá các rủi ro mà họ phải đối mặt thông qua quét bảo mật, phân tích rủi ro, kiểm tra xâm nhập định kỳ, vá lỗi và quản lý tài sản.

Ngoài ra, Chỉ thị này nêu ra mười biện pháp bảo mật cơ bản bắt buộc đối với tất cả mọi người:

  1. Các chính sách về đánh giá rủi ro và an ninh thông tin
  2. Xử lý sự cố (phòng ngừa, phát hiện và ứng phó)
  3. Kế hoạch duy trì hoạt động kinh doanh bao gồm sao lưu và kế hoạch khắc phục thảm họa, các quy trình khẩn cấp, quản lý khủng hoảng, cùng một đội ứng phó khủng hoảng được thành lập sẵn
  4. An ninh chuỗi cung ứng , phân tích rủi ro của các nhà cung cấp và nhà cung cấp dịch vụ trực tiếp, kế hoạch giảm thiểu các lỗ hổng của nhà cung cấp và các khía cạnh khác liên quan đến an ninh trong mối quan hệ giữa tổ chức với các nhà cung cấp và nhà cung cấp dịch vụ trực tiếp
  5. Đào tạo an ninh mạng và vệ sinh mạng
  6. Đánh giá hiệu quả của các biện pháp an ninh đã triển khai
  7. Chính sách và quy trình về mã hóa và mã hóa
  8. Việc sử dụng xác thực đa yếu tố hoặc liên tục , giao tiếp an toàn với mã hóa giọng nói, video và văn bản
  9. Chính sách và quy trình về an ninh nhân sự, truy cập dữ liệu, quản lý tài sản
  10. An ninh mạng và hệ thống thông tin , bao gồm mua sắm, phát triển và bảo trì

Cùng với các biện pháp này, EU NIS2 cũng khuyến khích hợp tác và chia sẻ thông tin để thúc đẩy nhận thức chung và hợp tác trong việc đối phó với các mối đe dọa kỹ thuật số mới và nâng cao khả năng chống chịu tổng thể của EU trước các cuộc tấn công mạng.

An ninh chuỗi cung ứng

Vì Chỉ thị NIS trước đây không tập trung vào an ninh chuỗi cung ứng, NIS2 mới đã lấp đầy khoảng trống đó. Phần mở đầu 85 nhấn mạnh tầm quan trọng của an ninh chuỗi cung ứng do sự phổ biến của các cuộc tấn công mạng, trong đó các tác nhân độc hại lợi dụng lỗ hổng của các công cụ và dịch vụ của bên thứ ba để xâm phạm an ninh mạng và hệ thống thông tin của tổ chức.

Chỉ thị yêu cầu các tổ chức đánh giá khả năng phục hồi, chất lượng và các thực hành an ninh mạng của các nhà cung cấp và nhà cung cấp dịch vụ, đồng thời tích hợp các biện pháp quản lý rủi ro phù hợp vào các thỏa thuận hợp đồng. Phần mở đầu 86 tập trung cụ thể vào ứng phó sự cố, kiểm tra xâm nhập, kiểm toán an ninh và tư vấn.

Điều này đặt thêm gánh nặng lên các nhà cung cấp và nhà cung cấp dịch vụ, bao gồm các nhà cung cấp dịch vụ quản lý và dịch vụ an ninh, làm việc với các tổ chức thuộc phạm vi áp dụng của NIS2. Các nhà cung cấp được kỳ vọng sẽ cải thiện an ninh kỹ thuật số và khả năng phục hồi hoạt động của họ, ngay cả khi họ nằm ngoài phạm vi áp dụng của NIS2.

Yêu cầu báo cáo sự cố mạng được tăng cường

Chỉ thị mới quy định việc báo cáo và thông báo sự cố với các thời hạn cụ thể trong trường hợp xảy ra sự cố nghiêm trọng hoặc cuộc tấn công mạng. Theo NIS2 (Điều 23), “nghiêm trọng” được hiểu là những sự cố có thể gây ra gián đoạn hoạt động nghiêm trọng hoặc tổn thất tài chính cho tổ chức, hoặc dẫn đến thiệt hại vật chất hoặc phi vật chất đáng kể cho bất kỳ bên nào khác.

  • Trong vòng 24 giờ. Các tổ chức phải thông báo cho cơ quan có thẩm quyền hoặc Đội Ứng phó Sự cố An ninh Mạng (CSIRT) về sự cố và nêu rõ liệu đó có phải là cuộc tấn công mạng hay có thể gây ra tác động xuyên biên giới hay không.
  • Trong vòng 72 giờ . Các tổ chức phải cung cấp đánh giá ban đầu về mức độ nghiêm trọng và tác động của sự cố.
  • Khi có yêu cầu . Các cơ quan có thẩm quyền và CSIRT có thể yêu cầu các tổ chức cung cấp báo cáo trung gian về tình trạng cập nhật.
  • Trong vòng 1 tháng kể từ khi thông báo sự cố . Báo cáo cuối cùng phải bao gồm mô tả chi tiết về sự cố, đánh giá tác động, nguyên nhân gốc rễ dẫn đến sự cố và các biện pháp giảm thiểu đã được thực hiện. Nếu sự cố kéo dài hơn một tháng, tổ chức được yêu cầu nộp báo cáo tiến độ và báo cáo cuối cùng khi sự cố kết thúc.

Bên cạnh việc báo cáo sự cố, các tổ chức cũng cần thông báo cho người nhận dịch vụ về sự cố và các biện pháp mà những người nhận dịch vụ có thể thực hiện để giảm thiểu hậu quả của sự cố.

Thách thức và cơ hội trong việc tuân thủ Chỉ thị NIS 2

Lợi ích của việc tuân thủ

Việc tuân thủ NIS2 của EU có thể giúp các tổ chức tăng cường an ninh mạng và cải thiện khả năng phục hồi hoạt động trước các sự cố gián đoạn. Điều này dẫn đến danh tiếng và tính minh bạch tốt hơn của tổ chức, do đó việc tuân thủ có thể mang lại lợi thế cạnh tranh.

Một lợi ích rõ ràng khác của việc tuân thủ NIS 2 là tránh được các khoản phạt do vi phạm. Chỉ thị này áp dụng các hình phạt sau:

  • Các tổ chức thiết yếu : ít nhất 10 triệu euro hoặc tối đa 2% tổng doanh thu hàng năm trên toàn cầu, tùy theo mức nào cao hơn
  • Các tổ chức quan trọng : ít nhất 7 triệu euro hoặc tối đa 1,4% tổng doanh thu hàng năm trên toàn cầu, tùy theo mức nào cao hơn

Các biện pháp thi hành khác bao gồm cảnh cáo, đình chỉ hoạt động, đình chỉ chứng nhận hoặc giấy phép của tổ chức, và đình chỉ những người đảm nhận trách nhiệm quản lý.

Những thách thức và vấn đề cần cân nhắc

Thách thức lớn nhất của NIS2 là nó được áp dụng trong bối cảnh các tổ chức phải đối mặt với những mối đe dọa kỹ thuật số ngày càng tinh vi và phức tạp, đồng nghĩa với việc hiện nay cần có những chiến lược tinh vi và phức tạp hơn để đối phó với chúng. Vì lý do này, Chỉ thị NIS2 mở rộng đáng kể trách nhiệm an ninh mạng của các tổ chức và đưa ra các biện pháp nghiêm ngặt hơn.

Các biện pháp an ninh mạng mới sẽ yêu cầu các tổ chức đầu tư vào công nghệ và chuyên môn, điều này có thể gây gánh nặng cho các tổ chức nhỏ hơn. Theo Báo cáo đánh giá tác động của Ủy ban Châu Âu, trong 3 năm tới, các tổ chức sẽ cần đầu tư thêm 22% vào an ninh thông tin nếu họ chưa bị ảnh hưởng bởi NIS1 và thêm 12% nếu họ đã tuân thủ NIS1.

Một thách thức khác là rủi ro tuân thủ đáng kể, có thể gây ra hậu quả tài chính nghiêm trọng cho các tổ chức. Các thực thể thiết yếu sẽ phải đối mặt với cả các cuộc kiểm toán an ninh định kỳ và đột xuất trước khi thực hiện như một biện pháp phòng ngừa.

Tác động của Chỉ thị NIS 2 đối với Thị trường Kỹ thuật số EU

Chỉ thị NIS2 trở thành động lực chính để củng cố và hài hòa mức độ an ninh mạng trên toàn EU. Tuy nhiên, do Chỉ thị cần được chuyển hóa thành luật quốc gia, các tiêu chuẩn và yêu cầu về an ninh mạng sẽ khác nhau tùy theo từng quốc gia.

NIS2 đặt ra tiêu chuẩn cao hơn về an ninh mạng và góp phần nâng cao khả năng phục hồi hoạt động của tất cả các ngành trước các mối đe dọa kỹ thuật số. Đối với ngành an ninh mạng, Chỉ thị mở ra một thị trường mới về các giải pháp được thiết kế để hỗ trợ các tổ chức tuân thủ NIS2.

Điều đáng chú ý là ngành tài chính của EU còn được bảo vệ thêm bởi Đạo luật Khả năng phục hồi Hoạt động Kỹ thuật số (DORA). Đạo luật này áp đặt các yêu cầu không thay đổi đối với tất cả các quốc gia EU dưới dạng quy định dành riêng cho ngành. Các yêu cầu của Đạo luật này có ưu tiên hơn NIS2 nhưng không thay thế hay cạnh tranh với NIS2. Do đó, các tổ chức tài chính phải tuân thủ cả DORA và NIS2.

Chuẩn bị tuân thủ NIS 2

Trước tiên, hãy xác định xem tổ chức của bạn có thuộc phạm vi áp dụng của NIS 2 hay không, hoặc liệu bạn có cung cấp dịch vụ quản lý hay các dịch vụ khác cho các tổ chức nằm trong phạm vi điều chỉnh của NIS 2 hay không. Bạn cũng cần xác định luật của quốc gia thành viên nào áp dụng cho tổ chức của mình để nắm rõ các yêu cầu cụ thể mà bạn cần tuân thủ.

Thực hiện phân tích khoảng cách

Nắm bắt tình hình an ninh mạng và mức độ rủi ro của tổ chức thông qua việc thực hiện phân tích khoảng cách. Trước khi các yêu cầu cụ thể của NIS2 được ban hành tại quốc gia của bạn, bạn có thể sử dụng các tiêu chuẩn quốc tế như IEC 62443 và Mô hình Chín muồi Năng lực An ninh Mạng (C2M2), cùng các yêu cầu về an ninh mạng phần mềm và phần cứng của Luật Khả năng Phục hồi An ninh Mạng EU (CRA) làm tài liệu tham khảo cho quá trình đánh giá.

NIS2 được cấu trúc xung quanh ba danh mục chính, vì vậy hãy xem xét chúng trước tiên khi thực hiện phân tích khoảng cách:

  • Quản trị (Điều 20). NIS2 đặt trọng tâm lớn vào trách nhiệm quản lý đối với tuân thủ và an ninh mạng tổng thể, điều này có thể yêu cầu xem xét văn hóa làm việc và áp dụng các thay đổi về hành vi trong tổ chức của bạn.
  • Các biện pháp quản lý rủi ro an ninh mạng (Điều 21). NIS2 yêu cầu các tổ chức đánh giá và chuẩn bị cho tất cả các nguy cơ có thể xảy ra bằng cách triển khai các biện pháp kỹ thuật, vận hành và tổ chức phù hợp và tương xứng.

    Chỉ thị nêu rõ mười biện pháp tối thiểu, bao gồm kế hoạch ứng phó sự cố, đánh giá rủi ro, an ninh chuỗi cung ứng, đánh giá hiệu quả của các biện pháp an ninh mạng, giao tiếp an toàn và đào tạo nhân viên định kỳ.

  • Báo cáo (Điều 23). Đảm bảo báo cáo sau sự cố minh bạch và kịp thời để tuân thủ các yêu cầu của NIS2.
  • Chứng nhận an ninh mạng của EU (Điều 24). Theo NIS2, các quốc gia thành viên có thể yêu cầu các tổ chức sử dụng các dịch vụ và sản phẩm công nghệ được chứng nhận bởi EU.

Bổ sung chiến lược an ninh mạng của bạn với NAKIVO

NAKIVO Backup & Replication là giải pháp mạnh mẽ cho sao lưu và phục hồi thảm họa. Các tính năng tiên tiến và các tính năng an ninh mạng của nó có thể giúp các tổ chức bảo vệ dữ liệu của mình đồng thời duy trì tuân thủ NIS 2.

Dưới đây là một số khía cạnh của giải pháp NAKIVO được liên kết với các biện pháp cơ bản của NIS2 để giúp bạn triển khai chiến lược bảo vệ dữ liệu có khả năng chống chịu mạng.

An ninh CNTT và bảo vệ dữ liệu

  • Khả năng phục hồi dữ liệu. Với giải pháp NAKIVO, bạn có thể bảo vệ tất cả các khối lượng công việc trên máy ảo và máy vật lý, trên đám mây, dữ liệu trong các thư mục chia sẻ và các ứng dụng Microsoft 365 thông qua một bảng điều khiển tập trung dựa trên web. Dễ dàng tuân thủ “quy tắc vàng về sao lưu” và lưu trữ các bản sao dữ liệu tại nhiều vị trí cả tại chỗ và ngoài cơ sở (bao gồm thiết bị NAS và thiết bị loại bỏ trùng lặp, ổ USB và băng từ), trên các nền tảng đám mây công cộng hoặc đám mây tương thích với S3
  • Tính toàn vẹn dữ liệu. Giải pháp hỗ trợ chế độ nhận diện ứng dụng và cho phép bạn tạo bản sao lưu nhất quán cho các tải công việc đang chạy ứng dụng và cơ sở dữ liệu, bao gồm các ứng dụng Microsoft tại chỗ như Active Directory và Exchange Server, cũng như cơ sở dữ liệu Oracle. Việc hỗ trợ các ứng dụng và dịch vụ Microsoft 365 giúp bạn dễ dàng sao lưu hộp thư Exchange Online, tin nhắn Teams, trang web SharePoint Online và dữ liệu OneDrive for Business.
  • Bảo vệ chống lại các mối đe dọa mạng như ransomware. Với giải pháp của NAKIVO, bạn có thể tuân thủ các thực hành tốt nhất về an ninh mạng để giảm thiểu rủi ro của một cuộc tấn công mạng thành công. Bạn có thể làm cho các bản sao lưu trở nên không thể thay đổi trên đám mây, thư mục cục bộ hoặc thiết bị HYDRAstor để đảm bảo rằng không ai có thể xóa hoặc thay đổi dữ liệu trong khoảng thời gian đã chỉ định. Bạn cũng có thể gửi bản sao sao lưu đến các thiết bị lưu trữ ngoại tuyến có thể tháo rời như băng từ để tạo khoảng cách vật lý, ngăn chặn tội phạm mạng truy cập dữ liệu qua mạng.
  • Mã hóa. Bảo vệ dữ liệu sao lưu bằng cách kích hoạt mã hóa AES 256-bit. Giải pháp của NAKIVO hỗ trợ mã hóa tại nguồn, nghĩa là dữ liệu của bạn được bảo vệ cả trong quá trình truyền tải và khi lưu trữ.
  • Kiểm soát truy cập . Cấu hình kiểm soát truy cập dựa trên vai trò cho giải pháp, tuân thủ nguyên tắc quyền hạn tối thiểu.
  • Xác thực . Kích hoạt xác thực đa yếu tố khi truy cập dữ liệu sao lưu và các hoạt động bảo vệ dữ liệu. Giải pháp của NAKIVO cũng hỗ trợ các tài khoản Microsoft 365 đã kích hoạt MFA, do đó bạn không cần phải hy sinh tính bảo mật trong cơ sở hạ tầng Microsoft 365.

Phát hiện, xử lý và phản ứng sự cố

  • Tính liên tục của hoạt động kinh doanh. Giải pháp này cung cấp sao lưu, nhân bản, sao chép theo thời gian thực, cũng như 12 tùy chọn khôi phục khác nhau để đảm bảo rằng bạn có thể khôi phục dữ liệu trong mọi tình huống. Kiểm tra ngay lập tức xem các bản sao lưu và bản sao VM có thể khôi phục được hay không và quét các bản sao lưu để tìm phần mềm độc hại nhằm đảm bảo quá trình khôi phục diễn ra suôn sẻ và an toàn.
  • Khôi phục sau thảm họa. Trong trường hợp xảy ra thảm họa, bạn chỉ cần 1 cú nhấp chuột để kích hoạt quy trình và chuyển sang bản sao dự phòng tại cơ sở thứ cấp. Chức năng Site Recovery cho phép bạn tạo các quy trình làm việc tự động chuyển đổi và quay lại trong vài giây đồng thời đáp ứng tất cả các mục tiêu khôi phục.
  • Giám sát thời gian thực. Với Giám sát CNTT cho VMware, bạn có thể phát hiện sớm các mức tiêu thụ CPU, RAM và dung lượng đĩa bất thường hoặc đáng ngờ trước khi chúng trở thành vấn đề nghiêm trọng hơn.

Đánh giá hiệu quả của các biện pháp bảo mật

  • Kiểm thử khôi phục thảm họa. Giải pháp NAKIVO cho phép bạn thực hiện kiểm tra khôi phục mà không gây gián đoạn để đảm bảo kế hoạch phục hồi thảm họa của bạn hoạt động hiệu quả và các mục tiêu phục hồi được đáp ứng. Trong quá trình kiểm tra, bạn có thể kiểm tra mạng và đảm bảo rằng bản đồ mạng và cài đặt IP mới là chính xác. Bạn cũng có thể xác minh xem các quy trình phục hồi thảm họa có hiệu quả hay cần điều chỉnh. Việc kiểm tra không ảnh hưởng đến môi trường sản xuất và có thể được thực hiện theo lịch trình.
Xem giải pháp được áp dụng trong thực tế

Xem giải pháp được áp dụng trong thực tế

Hãy trải nghiệm bản demo được thiết kế riêng cho bất kỳ tính năng nào để bắt đầu sử dụng ngay lập tức. Đội ngũ kỹ sư của chúng tôi luôn sẵn sàng hỗ trợ và giải đáp mọi thắc mắc của bạn.

Đăng ký trải nghiệm miễn phí

People also read

Picture
Tại sao bạn cần DRaaS và cách lựa chọn dịch vụ này
Picture
Cách sao chép tệp vào máy chủ Hyper-V và máy ảo: 7 phương pháp
Picture
Cách thêm lịch vào SharePoint và Office 365: Hướng dẫn chi tiết