До края на лятото тази година ще бъде приета новата европейска директива за мрежова и информационна сигурност NIS2. Тя е продължение на вече съществуващата директива NIS от 2018 г., но с разширен обхват и нови санкции. Това обяви Петър Кирков, директор „Мрежова и информационна сигурност“ при Министерство на електронното управление, тази сутрин при откриване на 14-тата регионална конференция за информационна сигурност InfoSec SEE 2022, организирана от COMPUTER 2000 Bulgaria.
„Днес киберсигурността е гореща тема за целия свят. Свидетели сме на кибервойна. Руско-украинският конфликт влияе на целия свят и напрежението в геополитиката се отразява в киберпространството“, заяви Анелия Костадинова, генерален мениджър на COMPUTER 2000 Bulgaria, пред аудиторията от професионалисти от публичния и частния сектор и представители на водещите компании в ИТ сигурността в комплекс Lighthouse Golf & Spa Resort България. Основна тема на конференцията тази година е „Киберсигурност по време на кибервойни”.
„Пейзажът в киберсигурността се променя постоянно и това не е тенденция, възникнала с руско-украинския военен конфликт, тя беше възходяща още преди това“, посочи от своя страна Петър Кирков. Усилията на националните власти за повишаване на защитните способности на всички организации в страната са постоянни, увери той.
Част от тези усилия са изготвените наскоро Препоръки за минималните изисквания за кибернетична сигурност, въведени у нас. Те повишават изискванията към защитните системи и механизми в предприятия от всички сфери.
На ниво ЕС най-големият проект за подобряване на устойчивостта към кибератаки е въпросната директива NIS2, която се очаква да се приеме до края на лятото. NIS2 предвижда подобрено сътрудничество и обмен на информация между държавите-членки на ЕС и повече обмен на информация между фирмите, които директивата касае.
NIS2 обхваща две категории организации или „субекти“: „основни“, включително енергийни и транспортни предприятия, организации от сферата на здравеопазването, водоснабдяването, публичната администрация, цифровата инфраструктура и банковите и финансовите пазари, както и „важни“ субекти – пощенските услуги, производството, хранително-вкусовата промишленост.
Въпреки че малките фирми ще бъдат изключени от регламента, повечето предприятия в основни и важни сектори ще бъдат обхванати от директивата.
За всички организации, които директивата касае, ще има минимални изисквания за мрежова и информационна сигурност. Тези, които не отговарят на изискванията, може да бъдат санкционирани, разкри още Кирков. Ще има нови методи на глобяване, които заимстват модела на Общия регламент за защита на личните данни GDPR: санкцията ще е в размер на определена сума или процент от приходите на организацията.
„Има ясно разбиране, че всички тези мерки, които ще са нужни, изискват финансиране. Затова са предвидени и механизми за подпомагане на финансирането“, посочи още Кирков.
Един от инструментите за целта е създаденият наскоро в Букурещ европейски център за киберкомпетентност. Тази нова агенция ще отговаря за две програми за финансиране в периода 2021-2027 г.: „Digital Europe” и „Horizon Europe”. Чрез тях центърът ще помага за реализацията на проекти в сферата на киберсигурността посредством звена в държавите-членки. У нас това е Център за киберкомпетентност при Министерството на електронното управление.
Центърът също така ще има грижата за формиране на общности, които да информират ведомството за това какво финансиране е нужно и къде е важно и спешно да бъде осигурено то.