Допълненията и новостите в Директивата относно мерките за високо общо ниво на киберсигурност в Европейския съюз, известна като Директива NIS2, бяха широко дискутирани на двудневната конференция InfoSec SEE 2024, организирана от COMPUTER 2000 България в „Hyatt Regency Pravets Golf & SPA Resort”.
NIS2 има за цел да повиши нивото на киберустойчивост в целия Европейски съюз, като изисква от определени субекти, предоставящи публични услуги на икономиката и обществото, да предприемат подходящи мерки за гарантиране на киберсигурността. Регламентът обхваща сигурността и на по-малките предприятия, включително тези, които предоставят изнесени услуги и често се използват от големите компании, поясни Бойчо Бойчев, управител на Небосистемс.
Предходната директива NIS1, която бе гласувана от европейския парламент през 2016 г., а през 2018-а влезе в сила, обхваща по-малко сектори и се ограничаваше само до големи фирми. NIS2, приета през януари 2023 г., чието действие влиза в сила на 18 октомври тази година, разширява обхвата си и включва нови субекти, публични и частни, които се определят като средни и големи предприятия.
Изискванията на NIS2 трябва да бъдат транспонирани в националното законодателство до 17 октомври 2024 г., за да станат приложими, тъй като от 18 октомври ще започнат да се налагат и глоби в случай на неизпълнение на разписаните изисквания по NIS2, подчерта Бойчев.
Обхватът на новите разпоредби се определя според конкретните, изброени в Директивата, сектори за организации с над 50 служители или с годишен оборот над 10 милиона евро. Освен това се дефинират отговорности на ръководството, включително определяне на отговорно лице по сигурността и указания какво трябва да е съдържанието на документацията на субекта.
Мерките по NIS2 са два основни типа – технически и организационни, като се отнасят на първо място до защитата на ИТ инфраструктурата, а след това и до автоматизираното управление на инцидентите.
Ключовите изисквания и задължения съгласно NIS2 включват:
- Управление на риска, включително на рисковете, въведени от трети страни
- Политики и процедури за:
– управление на инциденти и задължения за докладване;
– непрекъснатост на бизнес процесите и планове за възстановяване след инциденти;
– управление на уязвимостите. - Управление на сигурността на веригите за доставки и взаимоотношения с доставчиците
- Въвеждане на многофакторна автентикация за достъп до всички публични услуги.
“Сигурността трябва да се разглежда като инвестиция, а не като разход. С влизането в действие на новата Директива NIS2 ще се постигне по-добра реакция при инциденти по сигурността”, коментира Кристиан Мика, Channel Manager в SecureVisio.
(снимка: Рада Станева / TechNews.bg)
В родната му Полша, засегнатите от действието на Директивата компании също са загрижени относно изпълнението на изискванията. “Мнозина се питат дали ще имат достатъчно време да се подготвят? Откъде да започнат и колко ще им струва да пригодят системите си по сигурността в съответствие с новите разпоредби? И дали ще успеят да се справят със собствени сили, или ще са им необходими консултанти? Все пак смятам, че ще се справим”, каза Мика.
Според него, най-големите предизвикателства са свързани с наблюдението на системите по сигурността в дадена организация. На първо място, управленските екипи трябва да са активни и да се включат в решаването на важните въпроси, защото се оказва, че много организации не могат да определят кое е важно и кое – не. Най-напред те ще трябва да си отговорят на въпроса “Къде съм аз? И засяга ли ме действието на NIS2”. При прагматичен подход може да се направи оценка колко време и средства ще са необходими за инвестиране в подобренията, свързани със сигурността, посочи Мика.
Той бе категоричен, че с въвеждането на Директива NIS2 и новите разпоредби, които стават задължителни (за разлика от разписаните в NIS1), ще се постигне повишаване на нивото на сигурността в целия Европейски съюз.
