Вашата организация подготвена ли е с подходящи мерки за гарантиране на високо ниво на киберсигурност и оперативна устойчивост?
Директивата на ЕС за мрежова и информационна сигурност (NIS2) е актуализация на предходната NIS директива, която има за цел да подобри нивото на киберсигурност в Европейския съюз. NIS2 влиза в сила на 18 октомври 2024 г. и разширява обхвата на организациите, които са задължени да спазват изискванията.
Какво е NIS (Network and Information Systems) или МИС (Мрежови и информационни системи)?
Дигиталният свят е неразделна част от нашето ежедневие, като почти всичко – от личната комуникация до управлението на бизнеса – се осъществява онлайн. Тази нарастваща зависимост от цифровите технологии ни прави уязвими към различни кибератаки. С развитието и разширяването на дигиталните технологии, киберзаплахите стават все по-сериозни, което изисква прилагането на адаптирани мерки за сигурност. По данни на Verizon 43% от всички кибератаки са насочени към малки предприятия, като 68% отчитат кибератака през последните 12 месеца.
Директивата за мрежова и информационна сигурност е законодателен акт на Европейския съюз, който цели да повиши общото ниво на сигурност на мрежовите и информационни системи в ЕС. Тя задължава страните членки да прилагат минимални изисквания за киберсигурност и да осигурят защита на критичната инфраструктура от кибератаки и инциденти.
Става въпрос за информационни и комуникационни технологии, които са от критично значение за функционирането на основни услуги и за сигурността на информацията. Тези системи включват мрежи за комуникация, бази данни, компютърни системи, както и други видове инфраструктури, които са необходими за предоставянето на важни услуги като електроенергия, водоснабдяване, здравеопазване, транспорт и финансова система.
Основните аспекти на директивата
- Разширен обхват: NIS2 разширява обхвата на секторите, които трябва да спазват изискванията за киберсигурност. Освен критичната инфраструктура като енергетика, транспорт, и здравеопазване, сега се включват и сектори като обществените административни органи, производството на определени продукти, хранителната индустрия и др.
- Повишени изисквания за сигурност: Организациите трябва да внедрят мерки за управление на рисковете, включително мониторинг на заплахите, управление на инциденти, защитни механизми за данни и непрекъснатост на бизнеса.
- Засилен надзор и санкции: Въвеждат се по-строги механизми за контрол и санкции за неспазване на изискванията. Националните органи за киберсигурност ще имат по-големи правомощия да следят и налагат санкции на организациите.
- Съобщаване на инциденти: Организациите са задължени да съобщават за значителни инциденти с киберсигурността на съответните органи в рамките на 24 часа, както и своите клиенти, които са пряко засегнати от инцидента.
- Сътрудничество между страните членки: NIS2 насърчава по-тясно сътрудничество между страните членки на ЕС за по-добра координация и споделяне на информация относно киберзаплахи и инциденти.
Мерките за киберзащита са необходими по няколко ключови причини:
- Защита на чувствителна информация: Организациите и индивидите съхраняват огромни количества лични и поверителни данни онлайн.
- Предотвратяване на финансови загуби: Кибератаките могат да доведат до значителни финансови щети за компаниите и потребителите.
- Запазване на репутацията: Пробивите в сигурността могат да навредят сериозно на имиджа на организациите.
- Осигуряване на непрекъснатост на бизнеса: Кибератаките могат да прекъснат критични системи и операции.
- Шпионаж: Кибератаките се използват за събиране на разузнавателна търговска информация.
- Спазване на регулаторни изисквания: Много индустрии са задължени да прилагат определени мерки за киберсигурност.
Кои са отраслите, които трябва да се съобразят с NIS2?
Засегнатите организации се разделят на два основни типа – основни и важни субекти.
Основни субекти
Тези субекти се считат за критично важни за обществото и икономиката. Те включват:
- Енергетика: Организации, свързани с електричество, нефт, природен газ, топлинна енергия.
- Транспорт: Авиация, железопътен, морски и пътен транспорт, логистика.
- Банков сектор: Ключови банки и финансови институции.
- Инфраструктури на финансовия пазар: Оператори на финансови пазари и инфраструктурата, която ги поддържа.
- Здравеопазване: Болници, лаборатории, други здравни доставчици.
- Доставчици и снабдители на питейна вода.
- Отпадъчни води: Организации, свързани с управлението на отпадъчни води.
- Цифрова инфраструктура: Интернет доставчици, доставчици на облачни услуги, центрове за данни.
- Публична администрация: субекти на публичната администрация на централно, регионално и местно ниво.
Важни субекти
Тези субекти също играят съществена роля в икономиката и обществото, но се считат за по-малко критични от основните. Те включват:
- Пощенски и куриерски услуги: Организации, предлагащи доставка на писма и пратки.
- Отпадъци: Организации, свързани с управлението на отпадъци.
- Химически индустрии: Производство и разпространение на химикали.
- Хранителни стоки: Производство, преработка и дистрибуция на храни.
- Производство на медицински изделия: Производители на медицинско оборудване и изделия.
- Космически сектор: Компании, свързани със сателити и космически технологии.
- Производство на цифрови услуги: Разработчици на софтуер, доставчици на уеб услуги и т.н.
- Социални мрежи и онлайн платформи: Компании, които предоставят онлайн услуги и социални мрежи.
Всички тези субекти трябва да внедрят мерки за управление на рисковете за киберсигурността и да докладват за значителни инциденти. Това е опит да се засили устойчивостта на кибератаките в целия Европейски съюз.
Глоби
- Основни субекти (като критичната инфраструктура): Могат да бъдат глобени с до 10 милиона евро или 2% от годишния глобален оборот на организацията, като се прилага по-високата стойност.
- Важни субекти: Глобите за тях могат да достигнат до 7 милиона евро или 1.4% от годишния глобален оборот на организацията.
Други Санкции
Освен глобите, NIS2 предвижда и други форми на наказания, които могат да включват:
- Коригиращи мерки: Организациите могат да бъдат задължени да предприемат конкретни действия за подобряване на своята киберсигурност.
- Забрана за участие в обществени поръчки: Организации, които не спазват изискванията, могат да бъдат временно или постоянно изключени от участие в обществени поръчки.
- Отговорност на мениджърите: В някои случаи, може да бъде наложена лична отговорност на ръководители на организациите за неспазването на изискванията. Това може да включва както финансови санкции, така и други дисциплинарни мерки.
- Нарушение на репутацията: Има възможност за публично оповестяване на неспазването на изискванията, което може сериозно да увреди репутацията на засегнатата организация.
Директивата NIS2 подчертава важността на прилагането на тези мерки и предоставя на държавите-членки правомощията да следят и налагат санкции ефективно. Целта е да се гарантира, че организациите ще предприемат необходимите стъпки за защита на своите мрежи и информационни системи срещу киберзаплахи.
Предстояща промяна в законодателството на Европейско и национално ниво
Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета от 14 декември 2022 година относно мерки за високо общо ниво на киберсигурност в Съюза, за изменение на Регламент (ЕС) № 910/2014 и Директива (ЕС) 2018/1972 отменя Директива (EС) 2016/1148, считано от 18 Октомври 2024 г.
Директива (ЕС) 2022/2555 предвижда, че до 17 октомври 2024 г. държавите членки приемат и публикуват разпоредбите, необходими, за да бъде траспонирана новата Директива във вътрешните законодателства на държавите членки, които незабавно информират Комисията за това.
Държавите членки започват да прилагат разпоредбите на новата Директива, считано от 18 Октомври 2024 г.
В България, Законът за киберсигурност е обнародван на 13 Ноември 2018 г., като последните изменения са от 29 Март 2022 г.
Законът за киберсигурност въвежда изискванията на Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 г. относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза.
Сега обаче е необходимо транспониране на новата Директива (ЕС) 2022/2555 (Директива МИС2) в българското законодателство поради непълно съответствие на действащия Закон за киберсигурност.
В срок до 17 октомври 2024 г. следва да се измени действащият Закон за киберсигурност.
Към настоящия момент е разработен Законопроект за изменение и допълнение на Закона за киберсигурност, който е в съответствие и транспонира изискванията на Директивата МИС2, и който осигурява възможност за постигането на общата цел да се повиши нивото на защита срещу инциденти, рискове и заплахи за мрежовата и информационна сигурност в ЕС.
Заключение
Киберсигурността днес е не само необходимост, но и стратегическа възможност за всяка организация, която иска да се утвърди и развие в дигиталната ера. Въпреки че съществуват изисквания и потенциални санкции, основната цел на тези мерки е създаването на една по-сигурна и защитена среда за всички нас.
Започването на процеса по укрепване на Вашата киберсигурност не е просто задължение – това е инвестиция в бъдещето на Вашия бизнес. Съсредоточаването върху киберсигурността Ви позволява не само да защитите финансовите си ресурси, но и да позиционирате бизнеса си на ново, по-високо ниво на устойчивост и доверие.
Нека заедно изградим един по-защитен свят, в който иновациите и растежът могат да процъфтяват, без да бъдат компрометирани от киберзаплахи.