Директива NIS2
Изискванията за киберсигурност, наложени на субектите, предоставящи икономически значими услуги или дейности, се различават значително в държавите членки. Настоящата директива има за цел да премахне тези различия.
Какво е различното при NIS2?
NIS2 се прилага за по-широк обхват на сектори и услуги от тези в първоначалната директива. Докато NISD се прилага предимно за оператори на съществени услуги и доставчици на цифрови услуги, NIS2 премахва това разграничение и въвежда по-широката концепция за „съществени“ и „важни“ субекти и на практика разширява видовете организации, които попадат в тези категории.
Съществените субекти (напр. енергийни предприятия, телекоми и доставчици на облачни услуги) вече ще подлежат на всеобхватен предварителен и последващ контрол от компетентните органи, защото осъществяват дейности, които имат по-голяма степен на важност и критичност за обществото. Важни субекти (напр. пощенски и куриерски услуги, производители на химикали и храни) ще подлежат единствено на последващ надзор.
Съществени и важни субекти по сектор
NIS 2 предвижда редица нови задължения и минимален набор от мерки, които компаниите ще трябва да осигурят, например:
- политики за контрол на достъпа,
- процедури за действия при инцидент,
- сигурност на веригата за доставка, включително взаимовръзките между всеки субект и неговите преки снабдители или доставчици на услуги,
- въвеждане на многофакторна автентикация, защитени гласови, видео и текстови съобщения и защитени системи за спешна комуникация в рамките на субекта, когато е целесъобразно,
- добри практики и обучение в областта на киберсигурността относно принципите на нулево доверие (zero-trust), софтуерни актуализации, конфигурация на устройства и др.
- първоначално уведомление в рамките на 24 часа;
- повторно уведомление в рамките на 72 часа;
- междинен доклад в някои случаи (при поискване);
- окончателен доклад с допълнителна информация за инцидента в рамките на един месец;
- в някои случаи може да се изисква и уведомяване на потенциално засегнатите потребители.
Предвид санкциите, компаниите следва да са наясно с това, тъй като и наглед малки инциденти биха могли да се окажат значителни, които подлежат на докладване. Съгласно Директивата NIS2 компетентните органи ще могат да разчитат на солиден набор от правомощия за правоприлагане и разследване, като например извършване на одити на сигурността и изискване на данни, информация и документи, както и да налагат глоби:
- за съществени субекти, най-малко до 10 млн. евро или 2% от световния годишен оборот;
- за важни субекти, най-малко до 7 млн. евро или 1,4% от световния годишен оборот.
Какво следва?
Тъй като директивите на ЕС нямат пряко действие в държавите членки, те трябва да транспонират изискванията на Директивата NIS2 в националното законодателство, преди да станат приложими. Транспонирането трябва да бъде направено до 17 октомври 2024 г. и да бъдат публикувани съответните нормативни документи, които да започнат да се прилагат от 18 октомври 2024 г. Следете новините на нашата страница. Ще ви информираме за мерките, които трябва да предприемете. Можем да сме полезни и с оценката дали вашата организация попада в обхвата на NIS2, консултации относно мерки за общо ниво на киберсигурност, въвеждане на минимални изисквания за киберсигурност, провеждане на обучения и др.
Внедряване на управленски стандарти
КОНСЕХО ЕООД (CONSEJO) е консултантска фирма, сформирана от екип консултанти с над 15 годишен опит по системи за управление в областта на международните стандарти. Фокусът на фирмата е предоставяне на консултантски услуги при разработване и внедряване на системи за управление, покриващи изискванията на международните стандарти по качеството, околната среда, безопасни условия на труд, сигурност на информацията, добри производствени практики на базата на международните стандарти: ISO 9001, ISO 14001, ISO 45001, ISO 22000, ISO 27001, IFS Food, HACCP и други.
Екипът на КОНСЕХО е участвал в реализирането на проекти във всички отрасли на икономиката. Реализираните проекти от екипа на КОНСЕХО са над 1000, в областите - производство и проектиране, строителство, търговия, информационни и комуникационни технологии, транспорт и спедиция, хотелиерство и ресторантьорство, специална продукция, енергетика, дизайн, хранително-вкусова промишленост, услуги и др. Във фирмата е изграден стриктен ред за контрол по спазването на договорените изисквания с клиентите, както сроковете на договорите, така и качеството на изпълнение на услугата. Изграденият стил на работа на фирмата се състои в разработване на истински системи за управление, съвместно с нашите клиенти, на базата на провеждане на множество обучения и оказване на пълно съдействие в процеса на внедряване. Чрез подхода си на работа КОНСЕХО осигурява и гарантира безпроблемно сертифициране на изградените системи в изключително кратки срокове.