Изискванията към сигурността в организациите, определени от ЕС в директивите DORA и NIS2 и утвърдени в приетия у нас Закон за киберсигурност, вече са задължителни и съвсем скоро неизпълнението им ще означава налагане на санкции във вид на предупреждения и глоби.
Не случайно новите европейски рамки в сферата на сигурността бяха посочени като част от основните предизвикателства, с които организациите и особено малките и средни фирми трябва да се справят в динамиката на съвременните политически и икономически събития, от лекторите на международната конференция InfoSec SEE 2026, организирана от КОМПЮТЪР 2000 България в Правец.
„Тези директиви важат с особена сила в съвременните геополитически условия, когато световната финансова система ще бъде подложена на огромен натиск от изискванията към сигурността. Текат процеси по замяна на щатския долар като световна валута, очакванията са да бъде заменен или от китайския юан, или от еврото. А това означава и промяна на правилата на играта”, коментира Бисер Манолов, председател на борда на директорите на PayNovus.
Променящите се условия налагат организациите да са предварително подготвени за риска от атаки. „Погрешно е да се смята, че изискванията на DORA са предназначени за юристи. Това са всъщност изисквания към ИКТ”, заяви Бойчо Бойчев, управител на Nebosystems. Той бе категоричен, че киберсигурността е ориентирана към бъдещето, затова нейно осигуряване е особено важно за фирмите.
Изискванията по регламента DORA включват изпълнението пет основни задължителни дейности:
- Наличие на планове за непрекъснатост и възстановяване, т.е. за управление на риска в сферата на ИКТ;
- Управление, класификация и докладване на ИКТ инциденти;
- Тестване на оперативната устойчивост на цифровите технологии;
- Управление на риска, създаван от трети страни;
- Обмен на информация – всички се насърчават да споделят данни за заплахи и всякаква разузнавателна информация.
Разпоредбите включват задължения, като това всяка фирма да разполага с анализ и описание на бизнес ИТ активите си, за да се направи анализ на риска. На второ място трябва да се оценяват и рисковете спрямо бизнес процесите, които са дори по-високи в сравнение с рисковете към активите. Целта в крайна сметка е рискът да бъде управляван по-лесно.
„Кибер рисковете трябва да се изчисляват ежедневно. Това не става в екселска таблица, на хартия, а изисква ежедневна, практическа, техническа работа. Най-важното е техническата част да е изрядна, а чак след това и документация да е в подходящ вид”, обясни Бойчев.
Експертите коментираха още, че се забелязва тенденция за търсене на все повече европейски решения и инструменти в сферата на киберсигурността. Бойчев посочи като пример проект с интегрираната платформа SecureVisio.
