ЕС стартира Директивата за мрежовите и информационните системи (МИС) през 2016 г. вследствие на повишената загриженост за кибератаките. В допълнение към укрепването на капацитета за киберсигурност на държавите членки, директивата се надяваше да засили сътрудничеството в областта на киберсигурността между държавите членки. Тя също така насърчи държавите да контролират киберсигурността в своите критични национални инфраструктури (КНИ), като например в областта на енергетиката, транспорта и здравеопазването.

Седем години след стартирането на директивата пейзажът на киберзаплахите се е променил значително и директивата не отговаря напълно на нуждите на променящата се перспектива за рисковете за киберсигурността през 2023 г. Кибератаките и нарушенията на сигурността на данните се увеличават експоненциално, особено с нарастването на зависимостта на хората от цифровите технологии. Освен това зачестилите атаки срещу КИП, както се вижда от атаката на SolarWinds, пропуските в първоначалното законодателство за МИС и несъответствията в начина, по който държавите членки са приложили МИС, показват ограниченията на предишния модел и необходимостта от по-всеобхватна промяна.

Какви са основните изисквания на директивата NIS 2?

NIS 2 ще реши проблемите, свързани с предишното законодателство за NIS, и ще затегне правилата. Най-важното е, че това се отнася до непоследователния начин на прилагане на първоначалната директива за NIS, тъй като това усложняваше сътрудничеството между държавите и подкопаваше общата цел да се гарантира ефективността на киберсигурността в ЕС.

NIS 2 ще изисква от организациите да гарантират, че са въведени следните мерки за управление на рисковете за киберсигурността:

Политика за информационна сигурност

Важна част от киберсигурността е оценката на нивото на риска. NIS 2 ще изисква от компаниите да оценяват потенциалното въздействие на атака върху най-важните им активи и да бъдат нащрек за потенциални уязвимости на мрежата или новини за атаки срещу други членове на индустрията. Те също така ще трябва да възприемат проактивен, а не реактивен подход към управлението на риска, като въведат силни политики за информационна сигурност, за да осигурят систематичен и задълбочен анализ на риска.

Предотвратяване, откриване и реагиране при инциденти

NIS 2 изисква от организациите да разполагат с планове и резервни планове, да провеждат тренировки и да обучават всички заинтересовани страни. След като организацията идентифицира най-значимите си уязвимости, актуализираната директива изисква от нея да въведе ясни процедури за предотвратяване на атаки и да договори методи за откриване на потенциални инциденти. Това трябва да доведе до план за реакция при инциденти с прозрачна командна верига за изпълнение.

Непрекъснатост на бизнеса и управление при кризи

Актуализираната NIS 2 има за цел да гарантира, че предприятието може да продължи дейността си в случай на кибератака. Организациите трябва да разполагат с проверим план за това как компанията ще реагира на атака и как може да се възстанови от нея възможно най-бързо, като сведе до минимум смущенията. В резултат на това NIS 2 включва акцент върху решенията за архивиране в облак.

Сигурност на веригата за доставки

Сигурността на веригата за доставки от известно време е под микроскоп в световен мащаб. NIS 2 удвоява това и изисква от организациите да разгледат уязвимостта на всеки от своите доставчици и доставчици на услуги и техните практики за киберсигурност, включително доставчиците на услуги за съхранение на данни. Директивата гарантира, че организациите ясно разбират рисковете, поддържат близки отношения с доставчиците и непрекъснато актуализират сигурността, за да гарантират възможно най-висока степен на защита.

Разкриване на уязвимости

NIS 2 ще изисква по-прозрачно разкриване и управление на уязвимостите. Организациите трябва да осигурят начини, по които обществеността да съобщава за всякакви уязвимости, и да гарантират, че съответният отдел действа по тази информация. Ако дадена организация установи уязвимост в своята мрежа, актуализираната директива изисква от нея да я разкрие. Разкриването на такива уязвимости ще подпомогне борбата с киберпрестъпността и ще гарантира, че те няма да бъдат използвани другаде.

NIS 2 ще наложи и актуализирани подходи към докладването на инциденти

Съгласно актуализираната директива дружествата трябва да представят първоначален доклад в рамките на 24 часа от узнаването на всеки „значителен“ инцидент, пълно уведомление за инцидента в рамките на 72 часа и окончателен доклад в рамките на един месец на всеки съответен компетентен орган, на екипа за реагиране при инциденти с компютърната сигурност (CSIRT), а понякога и на своите клиенти.

„Значителен“ инцидент е всеки инцидент, който е причинил или е в състояние да причини сериозни оперативни смущения на услугата или финансови загуби, или ако инцидентът е засегнал или е в състояние да причини значителни загуби на други лица.

Сътрудничество

Първата директива за МИС се провали, тъй като не взе предвид различните начини на функциониране на отделните държави. Затова NIS 2 ще:

  • ще насърчава по-голям обмен на данни между органите
  • ще изисква от органите да участват в реакциите при инциденти на ниво ЕС, а не на национално ниво
  • създаде мрежа на ЕС за връзка при киберкризи (EU CyCLONe) – централен орган за координиране и управление на реакциите при киберинциденти в целия ЕС

 

Чрез централизиране на контрола върху киберсигурността на равнище ЕС и задължаване на всички да спазват едни и същи стандарти за киберсигурност, NIS 2 има за цел да опрости една досега недостатъчно координирана система. Това би трябвало да улесни съвместния обмен на данни и по-ефикасните решения на възникнали киберинциденти.

Кой трябва да спазва изискванията на NIS 2?

NIS 2 ще се прилага за всяка организация с повече от 50 служители, чийто годишен оборот надхвърля 10 милиона евро, както и за всяка организация, която преди това е била включена в първоначалната директива NIS.

Актуализираната директива също така ще разшири обхвата си, за да включи следните нови отрасли:

  • Електронни комуникации
  • Цифрови услуги
  • Космос
  • Управление на отпадъците
  • Храни
  • Производство на критични продукти (напр. лекарства)
  • Пощенски услуги
  • Публична администрация

Отраслите, включени в първоначалната директива, ще останат в обхвата на актуализираната директива NIS 2. Някои по-малки организации, които са от решаващо значение за функционирането на дадена държава членка, също ще бъдат включени в обхвата на NIS 2 поради потенциалните проблеми, които биха могли да възникнат, ако ги засегне кибератака.

Какви са последиците от неспазването на NIS 2?

NIS 2 включва много по-строги изисквания за прилагане от своя предшественик. Санкциите за несъответствие варират от одит на сигурността и нареждане да се спазват определени препоръки до глоби в размер на 10 млн. евро или 2 % от общия световен оборот на организацията – в зависимост от това коя от тези цифри е по-висока.

Забележително е, че тези глоби са същите като тези, налагани за нарушения на GDPR, и NIS 2 трябва да се разбира по подобен начин. Инициативата NIS 2 представлява значителен скок в киберсигурността и трябва да се разглежда също толкова сериозно, колкото и огромната промяна, която GDPR предизвика в областта на защитата на данните.

Подход към NIS 2, основан на стандарти

За организациите, които искат да постигнат съответствие с NIS 2, сертифицирането по ISO 27001 за информационна сигурност може да бъде мощна първа стъпка.

В самите регламенти за NIS се споменава, че всички стъпки, които компаниите предприемат, за да се съобразят с тях, трябва да отчитат „съответствието с международните стандарти“, докато техническите насоки, издадени от Агенцията на Европейския съюз за киберсигурност (ENISA), съпоставят всяка цел за сигурност с няколко стандарта за най-добри практики, включително ISO 27001.

Съответстващата на ISO 27001 система за управление на информацията (СУИС) позволява на организациите да намалят риска и излагането си на заплахи за сигурността, като определят съответните политики, които трябва да документират, технологиите за защита и обучението на персонала, за да се избегнат грешки. Освен това те задължават организациите да извършват ежегодни оценки на риска, което им помага да бъдат в крак с постоянно променящия се рисков пейзаж.

ISO 27001 ще помогне на организациите да отговорят на изискванията на NIS 2, като същевременно ще получат и независимо одитирана сертификация. Това предоставя доказателства на доставчиците, заинтересованите страни и регулаторните органи, че сте предприели изискваните „подходящи и пропорционални“ технически и организационни мерки, и демонстрира конкурентно предимство на пазара.

Организациите, които искат да направят още една стъпка напред, могат да обмислят добавянето на ISO 22301 за управление на непрекъснатостта на дейността. ISO 22301 е разработен, за да ви помогне да внедрите, поддържате и непрекъснато да подобрявате подхода си към непрекъснатостта на дейността. Въпреки че някои аспекти на ISO 27001 включват управление на непрекъсваемостта на бизнеса (BCM), той не определя процес за внедряване на BCM. Ето къде се появява допълнителният стандарт ISO 22301. Сертифицирането по този стандарт ще покаже допълнително съответствие с NIS 2.

ISO 27001 и ISO 22301 също работят добре заедно, като създават възможности за разработване на интегрирана система за управление, включваща както ISMS, така и BCMS. Този подход също ще ви помогне да развиете силна киберустойчивост.

Заключение

След публикуването на Директивата на ЕС за NIS 2 в Официален вестник на Европейския съюз, директивата влезе в сила на 20 декември 2022 г. Държавите членки разполагат с 21 месеца, за да включат разпоредбите в националното си законодателство.

 

Източник: e-security.bg

Подобни публикации

18 февруари 2025

Infostealer е открит в американски военни и отб...

Израелската фирма за киберсигурност Hudson Rock твърди, че в америк...
18 февруари 2025

Десетки италиански уебсайтове са обект на руски...

По данни на италианската национална агенция за киберсигурност ACN о...
18 февруари 2025

Киберпрестъпниците крадат мощта на ИИ, а вие пл...

Атакуващите използват големи езикови модели (LLM) в т.нар. експлойт...
18 февруари 2025

Cisco: Новите смарт суичове осигуряват следващо...

Cisco твърди, че новите интелигентни суичове и решения за защитна с...
17 февруари 2025

Японски художник излага оковано във верига куче...

Изложба в галерия в Токио, в която оковано във верига куче-робот се...
17 февруари 2025

Русия насочва организациите към фишинг с код на...

Свързана с Русия заплаха, проследена като Storm-2372, е насочена къ...
17 февруари 2025

Полицията конфискува 127 сървъра на непробиваем...

Дни след като няколко правителства обявиха санкции срещу услугата з...
17 февруари 2025

Изтеглянето на DeepSeek е спряно в Южна Корея

Китайският стартъп за изкуствен интелект DeepSeek временно е спрял ...
17 февруари 2025

Уязвимостите на Xerox Versalink позволяват стра...

Уязвимостите в многофункционалните принтери Xerox VersaLink могат д...
Бъдете социални
Още по темата
13/02/2025

Как киберпрестъпниците се в...

Денят на влюбените е време за...
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
02/02/2025

Неврокогнитивно въздействие...

В свят, в който компютърно генерираните...
Последно добавени
18/02/2025

Infostealer е открит в амер...

Израелската фирма за киберсигурност Hudson Rock...
18/02/2025

Десетки италиански уебсайто...

По данни на италианската национална агенция...
18/02/2025

Киберпрестъпниците крадат м...

Атакуващите използват големи езикови модели (LLM)...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!