ЕС стартира Директивата за мрежовите и информационните системи (МИС) през 2016 г. вследствие на повишената загриженост за кибератаките. В допълнение към укрепването на капацитета за киберсигурност на държавите членки, директивата се надяваше да засили сътрудничеството в областта на киберсигурността между държавите членки. Тя също така насърчи държавите да контролират киберсигурността в своите критични национални инфраструктури (КНИ), като например в областта на енергетиката, транспорта и здравеопазването.

Седем години след стартирането на директивата пейзажът на киберзаплахите се е променил значително и директивата не отговаря напълно на нуждите на променящата се перспектива за рисковете за киберсигурността през 2023 г. Кибератаките и нарушенията на сигурността на данните се увеличават експоненциално, особено с нарастването на зависимостта на хората от цифровите технологии. Освен това зачестилите атаки срещу КИП, както се вижда от атаката на SolarWinds, пропуските в първоначалното законодателство за МИС и несъответствията в начина, по който държавите членки са приложили МИС, показват ограниченията на предишния модел и необходимостта от по-всеобхватна промяна.

Какви са основните изисквания на директивата NIS 2?

NIS 2 ще реши проблемите, свързани с предишното законодателство за NIS, и ще затегне правилата. Най-важното е, че това се отнася до непоследователния начин на прилагане на първоначалната директива за NIS, тъй като това усложняваше сътрудничеството между държавите и подкопаваше общата цел да се гарантира ефективността на киберсигурността в ЕС.

NIS 2 ще изисква от организациите да гарантират, че са въведени следните мерки за управление на рисковете за киберсигурността:

Политика за информационна сигурност

Важна част от киберсигурността е оценката на нивото на риска. NIS 2 ще изисква от компаниите да оценяват потенциалното въздействие на атака върху най-важните им активи и да бъдат нащрек за потенциални уязвимости на мрежата или новини за атаки срещу други членове на индустрията. Те също така ще трябва да възприемат проактивен, а не реактивен подход към управлението на риска, като въведат силни политики за информационна сигурност, за да осигурят систематичен и задълбочен анализ на риска.

Предотвратяване, откриване и реагиране при инциденти

NIS 2 изисква от организациите да разполагат с планове и резервни планове, да провеждат тренировки и да обучават всички заинтересовани страни. След като организацията идентифицира най-значимите си уязвимости, актуализираната директива изисква от нея да въведе ясни процедури за предотвратяване на атаки и да договори методи за откриване на потенциални инциденти. Това трябва да доведе до план за реакция при инциденти с прозрачна командна верига за изпълнение.

Непрекъснатост на бизнеса и управление при кризи

Актуализираната NIS 2 има за цел да гарантира, че предприятието може да продължи дейността си в случай на кибератака. Организациите трябва да разполагат с проверим план за това как компанията ще реагира на атака и как може да се възстанови от нея възможно най-бързо, като сведе до минимум смущенията. В резултат на това NIS 2 включва акцент върху решенията за архивиране в облак.

Сигурност на веригата за доставки

Сигурността на веригата за доставки от известно време е под микроскоп в световен мащаб. NIS 2 удвоява това и изисква от организациите да разгледат уязвимостта на всеки от своите доставчици и доставчици на услуги и техните практики за киберсигурност, включително доставчиците на услуги за съхранение на данни. Директивата гарантира, че организациите ясно разбират рисковете, поддържат близки отношения с доставчиците и непрекъснато актуализират сигурността, за да гарантират възможно най-висока степен на защита.

Разкриване на уязвимости

NIS 2 ще изисква по-прозрачно разкриване и управление на уязвимостите. Организациите трябва да осигурят начини, по които обществеността да съобщава за всякакви уязвимости, и да гарантират, че съответният отдел действа по тази информация. Ако дадена организация установи уязвимост в своята мрежа, актуализираната директива изисква от нея да я разкрие. Разкриването на такива уязвимости ще подпомогне борбата с киберпрестъпността и ще гарантира, че те няма да бъдат използвани другаде.

NIS 2 ще наложи и актуализирани подходи към докладването на инциденти

Съгласно актуализираната директива дружествата трябва да представят първоначален доклад в рамките на 24 часа от узнаването на всеки „значителен“ инцидент, пълно уведомление за инцидента в рамките на 72 часа и окончателен доклад в рамките на един месец на всеки съответен компетентен орган, на екипа за реагиране при инциденти с компютърната сигурност (CSIRT), а понякога и на своите клиенти.

„Значителен“ инцидент е всеки инцидент, който е причинил или е в състояние да причини сериозни оперативни смущения на услугата или финансови загуби, или ако инцидентът е засегнал или е в състояние да причини значителни загуби на други лица.

Сътрудничество

Първата директива за МИС се провали, тъй като не взе предвид различните начини на функциониране на отделните държави. Затова NIS 2 ще:

• ще насърчава по-голям обмен на данни между органите
• ще изисква от органите да участват в реакциите при инциденти на ниво ЕС, а не на национално ниво
• създаде мрежа на ЕС за връзка при киберкризи (EU CyCLONe) – централен орган за координиране и управление на реакциите при киберинциденти в целия ЕС

Чрез централизиране на контрола върху киберсигурността на равнище ЕС и задължаване на всички да спазват едни и същи стандарти за киберсигурност, NIS 2 има за цел да опрости една досега недостатъчно координирана система. Това би трябвало да улесни съвместния обмен на данни и по-ефикасните решения на възникнали киберинциденти.

Кой трябва да спазва изискванията на NIS 2?

NIS 2 ще се прилага за всяка организация с повече от 50 служители, чийто годишен оборот надхвърля 10 милиона евро, както и за всяка организация, която преди това е била включена в първоначалната директива NIS.

Актуализираната директива също така ще разшири обхвата си, за да включи следните нови отрасли:

• Електронни комуникации
• Цифрови услуги
• Космос
• Управление на отпадъците
• Храни
• Производство на критични продукти (напр. лекарства)
• Пощенски услуги
• Публична администрация

Отраслите, включени в първоначалната директива, ще останат в обхвата на актуализираната директива NIS 2. Някои по-малки организации, които са от решаващо значение за функционирането на дадена държава членка, също ще бъдат включени в обхвата на NIS 2 поради потенциалните проблеми, които биха могли да възникнат, ако ги засегне кибератака.

Какви са последиците от неспазването на NIS 2?

NIS 2 включва много по-строги изисквания за прилагане от своя предшественик. Санкциите за несъответствие варират от одит на сигурността и нареждане да се спазват определени препоръки до глоби в размер на 10 млн. евро или 2 % от общия световен оборот на организацията – в зависимост от това коя от тези цифри е по-висока.

Забележително е, че тези глоби са същите като тези, налагани за нарушения на GDPR, и NIS 2 трябва да се разбира по подобен начин. Инициативата NIS 2 представлява значителен скок в киберсигурността и трябва да се разглежда също толкова сериозно, колкото и огромната промяна, която GDPR предизвика в областта на защитата на данните.

Подход към NIS 2, основан на стандарти

За организациите, които искат да постигнат съответствие с NIS 2, сертифицирането по ISO 27001 за информационна сигурност може да бъде мощна първа стъпка.

В самите регламенти за NIS се споменава, че всички стъпки, които компаниите предприемат, за да се съобразят с тях, трябва да отчитат „съответствието с международните стандарти“, докато техническите насоки, издадени от Агенцията на Европейския съюз за киберсигурност (ENISA), съпоставят всяка цел за сигурност с няколко стандарта за най-добри практики, включително ISO 27001.

Съответстващата на ISO 27001 система за управление на информацията (СУИС) позволява на организациите да намалят риска и излагането си на заплахи за сигурността, като определят съответните политики, които трябва да документират, технологиите за защита и обучението на персонала, за да се избегнат грешки. Освен това те задължават организациите да извършват ежегодни оценки на риска, което им помага да бъдат в крак с постоянно променящия се рисков пейзаж.

ISO 27001 ще помогне на организациите да отговорят на изискванията на NIS 2, като същевременно ще получат и независимо одитирана сертификация. Това предоставя доказателства на доставчиците, заинтересованите страни и регулаторните органи, че сте предприели изискваните „подходящи и пропорционални“ технически и организационни мерки, и демонстрира конкурентно предимство на пазара.

Организациите, които искат да направят още една стъпка напред, могат да обмислят добавянето на ISO 22301 за управление на непрекъснатостта на дейността. ISO 22301 е разработен, за да ви помогне да внедрите, поддържате и непрекъснато да подобрявате подхода си към непрекъснатостта на дейността. Въпреки че някои аспекти на ISO 27001 включват управление на непрекъсваемостта на бизнеса (BCM), той не определя процес за внедряване на BCM. Ето къде се появява допълнителният стандарт ISO 22301. Сертифицирането по този стандарт ще покаже допълнително съответствие с NIS 2.

ISO 27001 и ISO 22301 също работят добре заедно, като създават възможности за разработване на интегрирана система за управление, включваща както ISMS, така и BCMS. Този подход също ще ви помогне да развиете силна киберустойчивост.

Заключение

След публикуването на Директивата на ЕС за NIS 2 в Официален вестник на Европейския съюз, директивата влезе в сила на 20 декември 2022 г. Държавите членки разполагат с 21 месеца, за да включат разпоредбите в националното си законодателство.