NIS 2 цели да повиши сигурността на ИТ системите и мрежите в рамките на ЕС
(снимка: CC0 Public Domain)
Новите разпоредби на Европейския съюз, които изискват от бизнеса да засили своята киберзащита, влизат в действие бавно. Много държави-членки не успяха да приемат правилата навреме, за да спазят ключов краен срок за прилагане, според проучване, наблюдаващо напредъка на директивата.
Директивата на ЕС за киберсигурност NIS 2 поставя висок стандарт за компаниите по отношение на техните вътрешни системи и практики за киберсигурност. Законът налага по-строги изисквания относно управлението на риска, задълженията за прозрачност и планирането на непрекъснатостта на бизнеса в случай на кибер-пробив.
В четвъртък, 17 октомври, новата директива официално влезе в сила за държавите-членки. Това означава, че фирмите сега трябва да гарантират, че операциите им отговарят на правилата. Въпреки това повечето държави-членки на ЕС все още не са въвели NIS 2 в собствените си национални закони и прилагането вероятно ще бъде неравномерно.
Две държави – България и Португалия – не са започнали процеса на транспониране на NIS 2, при който директивите се включват в националните закони на страните-членки на ЕС, според инструмент за проследяване на интернет изследователската организация DNS Research Federation. „Внедряване варира значително в целия блок”, каза Тим Райт, партньор и технологичен адвокат във Fladgate, в репортаж на CNBC.
Какво е NIS 2
NIS 2, или Директивата за мрежова и информационна сигурност 2, е директива на ЕС, която има за цел да повиши сигурността на ИТ системите и мрежите в целия блок. Предложен за първи път през 2020 г., законът служи като актуализация на по-ранна директива, наречена просто NIS.
NIS 2 разширява обхвата на своя предшественик, за да отговори на по-новите предизвикателства и заплахи за киберсигурността, тъй като престъпниците са намерили нови начини да хакнат компании и да компрометират техните чувствителни данни.
Директивата се прилага за организации, които работят в рамките на ЕС и предоставят основни услуги на потребителите, включително банки, доставчици на енергия, здравни институции, интернет доставчици, транспортни фирми и преработватели на отпадъци.
Фирмите ще имат задължение да докладват и споделят информация за кибер-уязвимости и хакове с други компании съгласно новата регулация – дори ако това означава да признаят, че са жертва на кибер-пробив.
Ако даден бизнес стане жертва на кибер-пробив, той ще има 24 часа, за да изпрати уведомление за ранно предупреждение до властите – по-строг график от 72-часовия прозорец, в който фирмите трябва да уведомят властите за нарушение на данните съгласно Общия регламент за защита на данните, отделен закон за поверителност на данните в ЕС.
Фирмите също ще трябва да проверяват своите доставчици на технологии един по един за киберзаплахи и уязвимости.
Ще бъде ли ефективно?
Тим Райт от Fladgate казва, че ефективността на NIS 2 като регламент до голяма степен ще зависи от последователното ѝ прилагане в държавите-членки на ЕС.
„Лошите играчи може да се насочат към държави, които изостават в тяхното транспониране на NIS2, или да търсят слабости във веригите за доставки, като се насочват към по-малки, по-малко сигурни продавачи и доставчици, за да получат достъп до по-големи, по-добре защитени организации”, каза Райт.
Бизнесът работи, за да оформи своите вътрешни процеси, контрол и по-широка култура около киберсигурността от години преди крайния срок, изтекъл в четвъртък.
Крис Гоу, ръководител за публичната политика в ЕС на компанията за корпоративни технологии Cisco, каза, че неравномерният характер на внедряването на NIS 2 също е „изострен от местното адаптиране на закона”. Това, от своя страна „създава несъответствия, които могат да се окажат трудни за навигиране, особено за по-малки организации с ограничени ресурси”, коментира Гоу.
Той препоръча, вместо да бъдат „затрупани” от несъответствия в местните адаптации на NIS 2, организациите да „идентифицират общо ядро от контроли и процеси за сигурност, които да им помогнат както да отговарят, така и да демонстрират съответствие в мащаб”.
Какво става, ако една компания не изпълни изискванията
За „съществени” субекти като транспортни, финансови и водоснабдителни компании неспазването на NIS 2 може да доведе до глоби до 10 милиона евро или 2% от световните годишни приходи – което от двете е по-голямо.
Междувременно „важни” бизнеси – като хранителни компании, химически фирми и услуги за управление на отпадъци – очакват глоби до 7 милиона евро или 1,4% от глобалните си годишни приходи за нарушения.
Фирмите също могат да бъдат изправени пред възможни спирания на услугите, ако не спазват NIS 2, както и пред по-строг надзор.
„NIS 2 изяснява – големите глоби, възможното спиране на услугата и мониторингът на съответствието се използват като лостове за насърчаване на организациите, отговорни за критични услуги, да обърнат внимание на заплахите за киберсигурността и техния отговор”, коментира Карл Леонард, стратег по киберсигурност в EMEA Proofpoint.
„Определена е базова линия по отношение на мерките за управление на риска и смекчаване, включително управление на инциденти, обучение на персонала, отчетност на ръководството и много други”, добави Леонард.