हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंक्षेत्र के अनुसार साइबर सुरक्षा नियामक आवश्यकताएँ: वैश्विक व्यवसायों के लिए एक अनुपालन मानचित्र
2023 से 70 से अधिक देशों ने साइबर सुरक्षा नियमों को अधिनियमित या अद्यतन किया है। नियामक परिदृश्य अधिकांश कंपनियों की तुलना में तेजी से विकसित हो रहा है। दो साल पहले जो स्वैच्छिक मार्गदर्शन था वह अब महत्वपूर्ण दंडों के साथ लागू करने योग्य कानून है। यह मार्गदर्शिका प्रमुख क्षेत्रों में साइबर सुरक्षा नियामक आवश्यकताओं को मैप करती है, जिससे वैश्विक व्यवसायों को उनके दायित्वों को समझने और अनुपालन को प्राथमिकता देने में मदद मिलती है।
मुख्य बातें
- NIS2 (EU) ने प्रबंधन के लिए व्यक्तिगत दायित्व के साथ, 160,000+ संगठनों तक साइबर सुरक्षा दायित्वों का विस्तार किया
- एसईसी साइबर सुरक्षा प्रकटीकरण नियमों के अनुसार अमेरिकी सार्वजनिक कंपनियों को 4 व्यावसायिक दिनों के भीतर महत्वपूर्ण घटनाओं की रिपोर्ट करने की आवश्यकता होती है
- APAC नियम व्यापक रूप से भिन्न हैं: सिंगापुर और ऑस्ट्रेलिया अग्रणी हैं, जबकि अन्य अभी भी रूपरेखा विकसित कर रहे हैं
- एक एकीकृत सुरक्षा ढांचा (आईएसओ 27001 या एनआईएसटी सीएसएफ) वैश्विक स्तर पर 60-80% क्षेत्रीय आवश्यकताओं को पूरा करता है
क्षेत्रीय नियामक मानचित्र
यूरोपीय संघ
| विनियमन | प्रभावी | दायरा | मुख्य आवश्यकताएँ | जुर्माना |
|---|---|---|---|---|
| NIS2 निर्देश | अक्टूबर 2024 | आवश्यक एवं महत्वपूर्ण संस्थाएं (18 क्षेत्र) | जोखिम प्रबंधन, घटना रिपोर्टिंग (24 घंटे/72 घंटे), आपूर्ति श्रृंखला सुरक्षा, प्रबंधन जवाबदेही | EUR 10M या 2% राजस्व (आवश्यक), EUR 7M या 1.4% (महत्वपूर्ण) |
| डोरा | जनवरी 2025 | वित्तीय क्षेत्र (बैंक, बीमा, निवेश, आईसीटी प्रदाता) | आईसीटी जोखिम प्रबंधन, घटना वर्गीकरण/रिपोर्टिंग, लचीलापन परीक्षण, तृतीय-पक्ष जोखिम | इकाई के आकार के अनुपात में |
| साइबर लचीलापन अधिनियम | 2027 (चरणबद्ध) | डिजिटल तत्वों वाले उत्पाद | डिज़ाइन, भेद्यता प्रबंधन, एसबीओएम, सीई मार्किंग द्वारा सुरक्षित | EUR 15M या 2.5% राजस्व |
| जीडीपीआर (सुरक्षा पहलू) | 2018 | ईयू व्यक्तिगत डेटा संसाधित करने वाला कोई भी संगठन | "उचित तकनीकी और संगठनात्मक उपाय" | EUR 20M या 4% राजस्व |
एनआईएस1 से एनआईएस2 प्रमुख परिवर्तन:
- ~10,000 से ~160,000 संगठनों तक विस्तारित
- प्रबंधन निकाय अनुपालन के लिए व्यक्तिगत रूप से उत्तरदायी हैं
- महत्वपूर्ण घटनाओं के लिए अनिवार्य 24 घंटे की "पूर्व चेतावनी"।
- आपूर्ति श्रृंखला सुरक्षा आवश्यकताएँ
- आवश्यक संस्थाओं के लिए न्यूनतम EUR 10M जुर्माना
संयुक्त राज्य अमेरिका
| विनियमन | प्रभावी | दायरा | मुख्य आवश्यकताएँ | जुर्माना |
|---|---|---|---|---|
| एसईसी साइबर सुरक्षा नियम | दिसंबर 2023 | अमेरिकी सार्वजनिक कंपनियाँ | महत्वपूर्ण घटना का खुलासा (4 व्यावसायिक दिन), वार्षिक जोखिम प्रशासन रिपोर्टिंग | एसईसी प्रवर्तन कार्रवाई |
| सीआईएसए रिपोर्टिंग (सीआईआरसीआईए) | 2026 (प्रस्तावित) | महत्वपूर्ण बुनियादी ढांचा (16 सेक्टर) | 72 घंटे की घटना रिपोर्टिंग, 24 घंटे रैनसमवेयर भुगतान रिपोर्टिंग | नागरिक दंड |
| एफटीसी अधिनियम (धारा 5) | जारी | वाणिज्य में लगी कंपनियाँ | "उचित" सुरक्षा प्रथाएं, "अनुचित" प्रथाओं के लिए प्रवर्तन | भिन्न होता है (सहमति आदेश, जुर्माना) |
| राज्य गोपनीयता कानून (सीए, सीओ, सीटी, वीए, आदि) | विविध | राज्य की सीमाएँ पूरी करने वाली कंपनियाँ | सुरक्षा प्रथाएं, उल्लंघन अधिसूचना (राज्य के अनुसार भिन्न होती है) | राज्य एजी प्रवर्तन |
| HIPAA सुरक्षा नियम | 2005 (अद्यतन) | स्वास्थ्य सेवा संस्थाएँ और व्यावसायिक सहयोगी | पीएचआई के लिए प्रशासनिक, भौतिक, तकनीकी सुरक्षा उपाय | प्रति उल्लंघन श्रेणी प्रति वर्ष $1.9M तक |
| जीएलबीए सुरक्षा उपाय नियम | अद्यतन 2023 | वित्तीय संस्थान | जोखिम मूल्यांकन, पहुंच नियंत्रण, एमएफए, एन्क्रिप्शन, घटना प्रतिक्रिया | संघीय एजेंसी प्रवर्तन |
यूनाइटेड किंगडम
| विनियमन | प्रभावी | दायरा | मुख्य आवश्यकताएँ | जुर्माना |
|---|---|---|---|---|
| यूके एनआईएस विनियम | 2018 (अद्यतन) | आवश्यक सेवाएँ, डिजिटल सेवाएँ | जोखिम प्रबंधन, घटना रिपोर्टिंग, आपूर्ति श्रृंखला | जीबीपी 17एम |
| यूके जीडीपीआर | 2021 | यूके निवासी डेटा संसाधित करने वाले संगठन | सुरक्षा उपाय, उल्लंघन अधिसूचना (72 घंटे) | GBP 17.5M या 4% राजस्व |
| एफसीए आवश्यकताएँ | जारी | वित्तीय सेवा फर्म | परिचालन लचीलापन, घटना रिपोर्टिंग, तीसरे पक्ष का जोखिम | एफसीए प्रवर्तन |
| प्रस्तावित साइबर सुरक्षा और लचीलापन विधेयक | 2025-2026 | वर्तमान एनआईएस दायरे से विस्तारित | उन्नत घटना रिपोर्टिंग, आपूर्ति श्रृंखला आवश्यकताएँ | टीबीडी |
एशिया-प्रशांत
| देश | विनियमन | मुख्य आवश्यकताएँ | जुर्माना | |--|----||---|----| | सिंगापुर | साइबर सुरक्षा अधिनियम 2018 | सीआईआई संचालक: घटना रिपोर्टिंग, ऑडिट, जोखिम मूल्यांकन | एसजीडी 100K | | ऑस्ट्रेलिया | एसओसीआई अधिनियम 2022 (संशोधित) | महत्वपूर्ण बुनियादी ढाँचा: जोखिम प्रबंधन, घटना रिपोर्टिंग (12-72 घंटे) | नागरिक दंड | | जापान | आर्थिक सुरक्षा अधिनियम 2022 | महत्वपूर्ण बुनियादी ढाँचा: आपूर्ति श्रृंखला स्क्रीनिंग | प्रशासनिक आदेश | | दक्षिण कोरिया | नेटवर्क अधिनियम + PIPA | डेटा उल्लंघन अधिसूचना, सुरक्षा उपाय | KRW 50M + 3% राजस्व | | भारत | सीईआरटी-इन दिशा-निर्देश 2022 | 6 घंटे की घटना रिपोर्टिंग, लॉग प्रतिधारण (180 दिन) | कारावास + जुर्माना | | चीन | सीएसएल + डीएसएल + पीआईपीएल | महत्वपूर्ण बुनियादी ढाँचा: स्थानीयकरण, सुरक्षा समीक्षा, घटना रिपोर्टिंग | 5% तक राजस्व |
मध्य पूर्व और अफ़्रीका
| देश | विनियमन | मुख्य आवश्यकताएँ | जुर्माना | |--|----||---|----| | संयुक्त अरब अमीरात | एनईएसए मानक + पीडीपीएल | महत्वपूर्ण बुनियादी ढाँचा: सुरक्षा नियंत्रण, घटना रिपोर्टिंग | जुर्माना + लाइसेंस निरस्तीकरण | | सऊदी अरब | एनसीए ईसीसी फ्रेमवर्क | सरकारी/महत्वपूर्ण: अनुपालन मूल्यांकन, निगरानी | विनियामक प्रवर्तन | | दक्षिण अफ़्रीका | पोपिया + ईसीटीए | सुरक्षा सुरक्षा उपाय, उल्लंघन अधिसूचना | ZAR 10M या कारावास | | केन्या | डेटा संरक्षण अधिनियम 2019 | सुरक्षा उपाय, उल्लंघन अधिसूचना | केएसएच 5एम या 1% राजस्व |
एक सार्वभौमिक अनुपालन ढांचे का निर्माण
मानचित्र नियंत्रण विनियमों के लिए
प्रत्येक विनियमन के लिए अलग-अलग नियंत्रण लागू करने के बजाय, एक एकीकृत ढांचा बनाएं:
| नियंत्रण डोमेन | एनआईएस2 | एसईसी | डोरा | यूके एनआईएस | सिंगापुर सीएसए |
|---|---|---|---|---|---|
| जोखिम मूल्यांकन | आवश्यक | आवश्यक | आवश्यक | आवश्यक | आवश्यक |
| घटना प्रतिक्रिया योजना | आवश्यक | खुलासा | आवश्यक | आवश्यक | आवश्यक |
| घटना की रिपोर्टिंग | 24 घंटे/72 घंटे | 4 बस. दिन | वर्गीकरण आधारित | 72 घंटा | आवश्यक |
| आपूर्ति श्रृंखला सुरक्षा | आवश्यक | खुलासा | आवश्यक | आवश्यक | अनुशंसित |
| एमएफए / अभिगम नियंत्रण | आवश्यक | अनुशंसित | आवश्यक | आवश्यक | आवश्यक |
| एन्क्रिप्शन | आवश्यक | अनुशंसित | आवश्यक | आवश्यक | आवश्यक |
| प्रवेश परीक्षण | आवश्यक | अनुशंसित | प्रतिवर्ष आवश्यक | आवश्यक | आवश्यक |
| बोर्ड निरीक्षण | आवश्यक (व्यक्तिगत दायित्व) | आवश्यक (प्रकटीकरण) | आवश्यक | अनुशंसित | अनुशंसित |
| सुरक्षा जागरूकता प्रशिक्षण | आवश्यक | अनुशंसित | आवश्यक | आवश्यक | आवश्यक |
| व्यापार निरंतरता | आवश्यक | खुलासा | आवश्यक (लचीलापन परीक्षण) | आवश्यक | आवश्यक |
अनुशंसित आधार ढांचा
अपनी नींव के रूप में NIST साइबर सुरक्षा फ्रेमवर्क 2.0 या आईएसओ 27001:2022 से शुरुआत करें:
- एनआईएसटी सीएसएफ 2.0: मुफ़्त, लचीला, अमेरिका और अंतरराष्ट्रीय स्तर पर व्यापक रूप से मान्यता प्राप्त
- आईएसओ 27001: प्रमाणित, यूरोपीय संघ में और उद्यम ग्राहकों द्वारा पसंदीदा
दोनों ढाँचे अधिकांश विनियमों के लिए आवश्यक मुख्य नियंत्रण डोमेन को कवर करते हैं। शीर्ष पर विनियामक-विशिष्ट आवश्यकताएं (रिपोर्टिंग समयसीमा, दस्तावेज़ीकरण प्रारूप) जोड़ें।
घटना रिपोर्टिंग तुलना
| क्षेत्राधिकार | रिपोर्टिंग की अंतिम तिथि | को रिपोर्ट करें | आवश्यक सामग्री |
|---|---|---|---|
| ईयू (एनआईएस2) | 24 घंटे पूर्व चेतावनी, 72 घंटे पूर्ण | राष्ट्रीय सीएसआईआरटी/प्राधिकरण | प्रभाव, संकेतक, सीमा पार प्रभाव |
| ईयू (जीडीपीआर) | 72 घंटे (प्राधिकरण को), "बिना किसी देरी के" (उच्च जोखिम वाले व्यक्तियों को) | पर्यवेक्षी प्राधिकारी | प्रकृति, श्रेणियां, अनुमानित रिकॉर्ड, परिणाम, उपाय |
| ईयू (डोरा) | वर्गीकरण पर निर्भर करता है (1 घंटा से 1 महीना) | वित्तीय पर्यवेक्षी प्राधिकरण | वर्गीकरण आधारित विवरण |
| यूएस (एसईसी) | 4 व्यावसायिक दिन (भौतिक घटनाएँ) | एसईसी फाइलिंग (8-के) | प्रकृति, दायरा, समय, भौतिक प्रभाव |
| यूएस (सीआईएसए) | 72 घंटे की घटनाएं, 24 घंटे रैनसमवेयर | सीआईएसए | घटना विवरण, प्रभाव, संकेतक |
| यूके (एनआईएस) | 72 घंटा | एनसीएससी/प्रासंगिक प्राधिकारी | प्रभाव का आकलन, किये गये उपाय |
| भारत (CERT-In) | 6 घंटे | CERT-इन | घटना का प्रकार, प्रभावित प्रणालियाँ, प्रभाव |
| ऑस्ट्रेलिया (एसओसीआई) | 12 घंटे (महत्वपूर्ण), 72 घंटे (महत्वपूर्ण) | एसीएससी | प्रभाव, प्रतिक्रिया क्रियाएं, संकेतक |
| सिंगापुर (सीएसए) | निर्धारित समय सीमा | सीएसए | घटना विवरण, प्रभाव, प्रतिक्रिया |
अनुपालन प्राथमिकता
कई क्षेत्रों में काम करने वाली कंपनियों के लिए
- आईएसओ 27001 या एनआईएसटी सीएसएफ को आधार के रूप में लागू करें (सभी आवश्यकताओं का 60-80% पूरा करता है)
- जहां आप काम करते हैं, प्रत्येक क्षेत्राधिकार के लिए नियामक अंतरालों को मैप करें
- दंड की गंभीरता को प्राथमिकता दें: ईयू (एनआईएस2/जीडीपीआर) और एसईसी नियमों में सबसे अधिक जुर्माना है
- रिपोर्टिंग को सुसंगत बनाएं: एक घटना रिपोर्टिंग प्रक्रिया बनाएं जो सख्त समय सीमा (भारत के लिए 6 घंटे) को पूरा करती हो और प्रत्येक प्राधिकरण के लिए आउटपुट को अनुकूलित करे
- हर चीज़ का दस्तावेजीकरण: अधिकांश नियमों के लिए केवल सुरक्षा ही नहीं, बल्कि स्पष्ट अनुपालन की भी आवश्यकता होती है
अक्सर पूछे जाने वाले प्रश्न
क्या NIS2 हमारी कंपनी पर लागू होता है?
यदि आप ईयू में काम करते हैं और 18 क्षेत्रों (ऊर्जा, परिवहन, बैंकिंग, स्वास्थ्य सेवा, डिजिटल बुनियादी ढांचे, सार्वजनिक प्रशासन, अंतरिक्ष, डाक, अपशिष्ट, भोजन, विनिर्माण, रसायन, अनुसंधान और आईसीटी सेवाएं) में से एक में आते हैं तो एनआईएस2 लागू होता है। आवश्यक संस्थाएँ महत्वपूर्ण क्षेत्रों में बड़े उद्यम हैं। महत्वपूर्ण संस्थाएँ उन क्षेत्रों में मध्यम उद्यम हैं। विस्तारित दायरे में NIS1 की तुलना में कहीं अधिक कंपनियां शामिल हैं। भले ही आप सीधे दायरे में न हों, आपके ग्राहकों को उनकी आपूर्ति श्रृंखला से NIS2 अनुपालन की आवश्यकता हो सकती है।
हम कई देशों में साइबर सुरक्षा नियमों का अनुपालन कैसे करते हैं?
एक एकीकृत सुरक्षा ढांचा (आईएसओ 27001 या एनआईएसटी सीएसएफ) बनाएं जो सामान्य आवश्यकताओं को कवर करता हो। एक नियामक मानचित्रण दस्तावेज़ बनाएं जो दिखाता है कि कौन सा ढांचा नियंत्रण किन नियमों को पूरा करता है। विशिष्ट न्यायक्षेत्रों (रिपोर्टिंग समयसीमा, दस्तावेज़ीकरण प्रारूप) के लिए अद्वितीय आवश्यकताओं के लिए, अपने आधार ढांचे में परिशिष्ट बनाएं। यह अलग-अलग अनुपालन कार्यक्रम बनाने की तुलना में कहीं अधिक कुशल है।
क्या ईआरपी सिस्टम के लिए विशेष रूप से साइबर सुरक्षा आवश्यकताएं हैं?
ईआरपी के लिए विशिष्ट नहीं है, लेकिन ईआरपी सिस्टम आम तौर पर कई नियामक क्षेत्रों के अंतर्गत आते हैं क्योंकि वे वित्तीय डेटा (एसओएक्स, डीओआरए), व्यक्तिगत डेटा (जीडीपीआर, एनआईएस2) संसाधित करते हैं, और अक्सर महत्वपूर्ण व्यावसायिक सिस्टम माने जाते हैं। सुनिश्चित करें कि आपके ईआरपी में: भूमिका-आधारित पहुंच नियंत्रण, ऑडिट लॉगिंग, एन्क्रिप्शन, नियमित पैचिंग और घटना प्रतिक्रिया प्रक्रियाएं हैं। ECOSIRE ओडू सिक्योरिटी हार्डनिंग प्रदान करता है जो इन आवश्यकताओं को संबोधित करता है।
आगे क्या आता है
साइबर सुरक्षा नियामक अनुपालन आपके शासन कार्यक्रम का एक आयाम है। डेटा-विशिष्ट नियमों के लिए इसे डेटा गवर्नेंस, कार्यबल डेटा के लिए कर्मचारी डेटा गोपनीयता और वेब संपत्तियों के लिए कुकी सहमति कार्यान्वयन के साथ संयोजित करें।
कई न्यायक्षेत्रों में साइबर सुरक्षा अनुपालन परामर्श के लिए ECOSIRE से संपर्क करें।
ECOSIRE द्वारा प्रकाशित - व्यवसायों को वैश्विक नियामक परिदृश्य को नेविगेट करने में मदद करना।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE के साथ अपना व्यवसाय बढ़ाएं
ईआरपी, ईकॉमर्स, एआई, एनालिटिक्स और ऑटोमेशन में एंटरप्राइज समाधान।
संबंधित लेख
ई-कॉमर्स के लिए साइबर सुरक्षा: 2026 में अपने व्यवसाय को सुरक्षित रखें
2026 के लिए पूर्ण ईकॉमर्स साइबर सुरक्षा गाइड। पीसीआई डीएसएस 4.0, डब्ल्यूएएफ सेटअप, बॉट सुरक्षा, भुगतान धोखाधड़ी की रोकथाम, सुरक्षा हेडर और घटना प्रतिक्रिया।
रासायनिक उद्योग के लिए ईआरपी: सुरक्षा, अनुपालन और बैच प्रोसेसिंग
ईआरपी सिस्टम रासायनिक कंपनियों के लिए एसडीएस दस्तावेज़, पहुंच और जीएचएस अनुपालन, बैच प्रोसेसिंग, गुणवत्ता नियंत्रण, खतरनाक शिपिंग और फॉर्मूला प्रबंधन कैसे प्रबंधित करते हैं।
आयात/निर्यात व्यापार के लिए ईआरपी: बहु-मुद्रा, रसद और अनुपालन
ईआरपी सिस्टम ट्रेडिंग कंपनियों के लिए क्रेडिट पत्र, सीमा शुल्क दस्तावेज़ीकरण, इनकोटर्म्स, बहु-मुद्रा पी एंड एल, कंटेनर ट्रैकिंग और शुल्क गणना को कैसे संभालते हैं।
Compliance & Regulation से और अधिक
ई-कॉमर्स के लिए साइबर सुरक्षा: 2026 में अपने व्यवसाय को सुरक्षित रखें
2026 के लिए पूर्ण ईकॉमर्स साइबर सुरक्षा गाइड। पीसीआई डीएसएस 4.0, डब्ल्यूएएफ सेटअप, बॉट सुरक्षा, भुगतान धोखाधड़ी की रोकथाम, सुरक्षा हेडर और घटना प्रतिक्रिया।
रासायनिक उद्योग के लिए ईआरपी: सुरक्षा, अनुपालन और बैच प्रोसेसिंग
ईआरपी सिस्टम रासायनिक कंपनियों के लिए एसडीएस दस्तावेज़, पहुंच और जीएचएस अनुपालन, बैच प्रोसेसिंग, गुणवत्ता नियंत्रण, खतरनाक शिपिंग और फॉर्मूला प्रबंधन कैसे प्रबंधित करते हैं।
आयात/निर्यात व्यापार के लिए ईआरपी: बहु-मुद्रा, रसद और अनुपालन
ईआरपी सिस्टम ट्रेडिंग कंपनियों के लिए क्रेडिट पत्र, सीमा शुल्क दस्तावेज़ीकरण, इनकोटर्म्स, बहु-मुद्रा पी एंड एल, कंटेनर ट्रैकिंग और शुल्क गणना को कैसे संभालते हैं।
ईआरपी के साथ स्थिरता और ईएसजी रिपोर्टिंग: अनुपालन गाइड 2026
ईआरपी सिस्टम के साथ 2026 में ईएसजी रिपोर्टिंग अनुपालन पर नेविगेट करें। सीएसआरडी, जीआरआई, एसएएसबी, स्कोप 1/2/3 उत्सर्जन, कार्बन ट्रैकिंग और ओडू स्थिरता को कवर करता है।
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.