Задължителни тестове за ИТ сигурност в ЕС

Новите изисквания за киберсигурност в рамките на ЕС се очаква да доведат до бурен ръст на пазара за ИТ услуги

Новите изисквания за киберсигурност в рамките на ЕС се очаква да доведат до бурен ръст на пазара за ИТ услуги

Редица европейски компании започват задължителни тестове за киберсигурност, съгласно директивата NIS за сигурност на компютърните мрежи и информационни системи, приета през юли тази година.

NIS Directive определя групи от компании, подлежащи на тестове на ИТ сигурността, от енергетиката, медицината, финансите и други сфери. Директивата не засяга микро- и малките предприятия.

Тестването ще се извършва чрез моделиране на атаки срещу ИТ системите от страна на специално акредитирани доставчици. Очаква се новите изисквания да доведат до бурен ръст на пазара за ИТ услуги, тъй като много предприятия в списъка досега не са преминавали проверки за кирберсигурност.

Компаниите са задължени също да съобщават за сериозни киберзаплахи или сривове в защитата на правителствените органи. В частност, те трябва да информират за мащаба на кибератаката, нейния тип, продължителност, географско разпространение и последствия за мрежите, както и да се отчитат за предприетите мерки за сдържане и отстраняване на заплахите.

Повишено внимание в директивата се обръща на сигурността на финансовите портали в интернет, облачните хранилища и системите за търсене.

NIS Directive беше приета от Европейския парламент на 6 юли 2016 г. и влезе в сила през август. Страните-членки имат 21 месеца, за да интегрират директивата в националните си законодателства и още шест месеца, за да съставят списък с доставчиците на цифрови услуги, които подлежат на проверка.

Директивата изисква всяка страна-членка да поддържа един или няколко екипа за реагиране на инциденти, свързани с киберсигурността (CSIRT), както и профилни ИТ ведомства към правителството. Впоследствие CSIRT могат да бъдат обединени в международна, общоевропейска мрежа.

На международно ниво е създадена специален екип за сътрудничество, който ще посредничи в обмена на информация за киберинциденти и заплахи между страните. Екипът ще помага също така на отделните държави да адаптират NIS Directive към местните условия и да се подготвят за нейното изпълнение.

Всяка страна следва да разработи и представи национална стратегия за ИТ сигурност. Тя трябва да съдържа информация за обектите, нуждаещи се от повишена кибурсигурност, план за оценка на рисковете, методология за сътрудничество между частния и обществения сектор, както и план за изследвания и разработки в сектора на ИТ сигурността.

Коментар