Половината от санкциите, предвидени в новите регулации за мрежовата информационна сигурност, пряко касаят висшия мениджмънт и предвиждат наказания за ръководителите. Възможно е дори в организацията да бъде назначен външен отговорник-наблюдател в случаите на нарушения на изискванията.
МИС-2 е второто „издание“ на европейската директива за информационната сигурност. Тя бе приета на 27 декември 2022 година. Очаква се да влезе в сила през 2024 г. Нормата е продължение на вече съществуваща европейска регулация, станала известна като NIS-1, а у нас преведена като МИМИС (минимални изисквания за мрежовата информационна сигурност). Въпреки това в ежедневието новата директива стана по-известна като МИС-2.
Разширен обхват
МИС-2 е със значително разширен обхват и в много отношения заимства похватите на общия регламент за защита на личните данни GDPR, казва Вихрен Славчев, изпълнителен директор на ИТ компанията Мнемоника. По дефиниция МИС-2 засяга всички организации с над 50 души служители и/или 10 млн. евро оборот на годишна база.
Задължително на изискванията ѝ трябва да отговарят всички организации, които управляват критична за държавата инфраструктура – организации за публични услуги, електроразпределение, ВиК, управление на отпадъците.
Освен самите организации, МИС-2 засяга и техните вериги на доставки. Това става по непряк път. Всички доставчици на оператори на важни инфраструктури са задължени косвено, т.е. чрез изисквания от самите организации, които обслужват, да спазват регулациите за информационна и мрежова сигурност. В този подход е заимствана добрата практика на GDPR, който по подобен начин изискваше доставчиците да поддържат определено ниво на защита, посочи Славчев.
МИС-2 и DORA
МИС-2 надгражда своята първа версия по начин, който павира пътя към въвеждане на друга общоевропейска регулация: DORA (Digital Operational Resilience Act), която скоро ще влезе в сила в ЕС. DORA създава регулаторна рамка за дигитална оперативна устойчивост, при която организациите трябва да гарантират, че могат да издържат, да реагират и да се възстановят от всички видове смущения и заплахи, свързани с ИКТ. Това означава, че организациите трябва да докажат, че са годни да се възстановят светкавично след какъвто и да е киберинцидент.
Поскъпване на ИТ продуктите
Успоредно с МИС-2 и DORA в момента в ЕС се подготвя регулация за производителите на електронни устройства, която ще ги задължи да сертифицират своята продукция за устойчивост срещу кибератаки, включително на ниво хардуер – това ще е Закон за кибер-устойчивостта. Той, според Славчев, рязко ще изведе от пазара голяма част от електрониката, произхождаща от Китай.
Едновременно с това обаче нормата ще повиши цените на електронните стоки от всички категории. Всички производители на пазара в ЕС ще трябва да тестват устройствата, които предлагат, при съответни сертифициращи органи, и да получат сертификат, подобен на CE маркировката. Това ще натовари крайната потребителска цена.
7 стъпки към МИС-2
На базата на изискванията на МИС-2 има седем стъпки, които всяка организация трябва да направи, за да е в съответствие, поясни Славчев. Това са:
1. Риск-анализи на наличните информационни системи и въвеждане на политики за сигурност; досега това е било пожелателно, но не задължително; сега организациите са задължени да имат правила и политики за ИС; няма яснота дали този риск-анализ ще трябва да се прави регулярно и ако да – колко често;
2. Управление на превенцията, ранното откриване и реагирането на инциденти – необходимо е всяка организация да има готови процедури за реагиране при кибер-инциденти от всякакъв характер, като тези процедури следва да са тествани и доказано работещи;
3. Устойчивост на бизнеса и управление на кризи: непрекъсваемостта на бизнеса трябва да бъде гарантирана, т.е. при настъпването на голямо събитие е необходимо екипите да имат методи да реагират и да гарантират, че ще възстановят работата скоропостижно;
4. Сигурност на доставчиците: въвежда се задължението всички оператори да изискват от всички свои доставчици дадено ниво на кибер-сигурност;
5. Мрежова ИС – всички информационни системи и мрежови системи трябва да повишат нивото си на защита съобразно дефинираното в МИС-2, стъпвайки на конкретните изисквания на МИС-1;
6. Въвеждане на процедури за измерване на риска, свързан с кибер-сигурността, както и на мерки за управлението му;
7. Използване на криптография.
Санкциите: половината касаят мениджмънта
В МИС-2 са предвидени санкции за организациите, които не отговарят на изискванията на регулацията. Отново по подобие на GDPR, паричните наказания са дефинирани като процент от оборота или абсолютна сума, в зависимост от това кое е по-високо.
Прави впечатление, че две от четирите предвидени санкции в МИС-2 пряко касаят висшия мениджмънт на организацията, подчерта Славчев.
1. Финансова санкция: глоба в размер на 10 млн. евро или 2% от годишния оборот (което е по-голямо);
2. Отговорност на ръководството: ръководителите могат да бъдат държани отговорни лично, индивидуално за пробив, ако настъпи такъв и ако се потвърди, че не са били взети необходимите мерки за предотвратяването му;
3. Управление на организацията: на един или няколко от висшите мениджъри могат да се вменят временни ограничения и временни забрани, включително за пътувания;
4. Назначаване на синдик по сигурността: МИС-2 предвижда назначаването на външен експерт по ИТ сигурността, който да извършва мониторинг (monitoring officer) – вид одитор или синдик, който се вгражда в организацията.