NIS2

Всичко важно от IT гледна точка

Новата директива NIS2 все по-често се споменава в проучвания и статии, свързани с осигуряване на безопасна виртуална среда за работа с чувствителни данни.

Чудите се как да изпълните всички изисквания по директива NIS2? Как лесно и бързо да разберете какво е важно от IT гледна точка? Тук ще намерите всичко необходимо за планирането и прилагането на новите разпоредби във вашата организация.  

Какво е NIS2?

Директивата NIS2 (Директива за мрежова и информационна сигурност 2) е документ, който установява общи стандарти в областта на киберсигурността. Директивата обхваща институции и компании, които са определени като ключови за функционирането на обществото.

NIS2 е актуализация на директивата NIS от 2016 г. В България нейните изисквания бяха приложени от Закона за киберсигурност от 2018 г., който също се актуализира. Директивата беше приета като отговор на промените в цифровия пейзаж и все по-напредналите кибератаки.

NIS2 определя нови правила за сигурност за ключови доставчици на услуги. Разпоредбите на NIS2 обхващат, както публични институции, така и частни компании. Примери за области на дейност, включват: енергетика, банкиране и здравеопазване. 

Кои са най-важните промени в NIS2?

  • NIS2 разширява обхвата на субектите и обхваща повече сектори на икономиката.
  • Документът налага нови задължения на субектите, като:
    • прилагане на решения за анализ и управление на риска,
    • прилагане на политика за сигурност на системата,
    • осигуряване на веригите за доставки,
    • разработване на План за непрекъснатост на бизнеса.
  • Директивата NIS2 затяга изискванията за докладване на инциденти и увеличава санкциите за неспазване.
  • Налага отговорност на хората на ръководни позиции. Мениджърите също са отговорни за неспазване на указанията на NIS2.
  • NIS2 изоставя разграничението между оператори на основни услуги и доставчици на цифрови услуги и вместо това въвежда разделение на ключови и важни субекти.
  • Новата директива обхваща средни и големи предприятия в избрани отрасли и може да обхваща субекти, които са подизпълнители или доставчици на тези компании.

Кои сектори засяга NIS2?

Прогнозите показват, че NIS2 ще обхване десетки хиляди организации в България.
Новата директива разширява каталога, за да включва следните субекти, които са средни и големи компании*:

Ключови субекти

Енергетика

Транспорт

Банкиране и инфраструктура на финансовия пазар

Здравеопазване

Снабдяване и разпределение на питейна вода

Канализация

Цифрова инфраструктура

Информационни и комуникационни услуги

Космическо пространство

Важни субекти

Пощенски услуги

Управление на отпадъците

Доставчици на цифрови услуги

Изследвания

NIS2 въвежда задължението за извършване на оценка на риска за всички преки доставчици и подизпълнители

NIS2 също налага задължения, свързани с наблюдението и проверката на сигурността по веригата за доставки. Тази категория включва:

  • процеса на откриване и реагиране на инциденти със сигурността, както и поддържащи технологии
  • периодични тестове за проникване и одити на сигурността
  • управление на уязвимостта
  • контрол на сигурността на процеса на разработка на софтуер при доставчика
  • задължение за анализ на риска, свързан с доставчиците

Следователно може да има ситуация, при която дадена компания не е под обхвата на NIS2, но е в ролята на доставчик или изпълнител на организация, пряко засегната от директивата. Тази компания също ще трябва да се адаптира към NIS2.

До кога има време за подготовка?

Промяната в Закона за киберсигурност, базирана на NIS2, трябва да бъде приета до 17 октомври 2024 г. От момента, в който една компания бъде призната за ключов или важен субект, тя има 6 месеца да внедри система за управление на информационната сигурност.

Като се има предвид графикът за работа по изменение на Закона за националната система за киберсигурност, може да се изчисли, че такава система ще трябва да бъде внедрена приблизително до средата на 2025 г.

Информацията по-горе идва от проектозакона, който е в процес на обсъждане, така че е възможно тези дати да се променят.

Какви са санкциите за неспазване на NIS2?

NIS2 също така съдържа санкции, които ще бъдат наложени на субекти, които не спазват директивата. Говорим за високи финансови санкции, които могат да бъдат наложени не само на организации, но и на мениджъри.

До
10
млн евро

Ключови субекти:

Максималната санкция може да бъде 10 милиона евро или 2% от общия годишен световен оборот на компанията за предходната финансова година, което от двете е по-високо.

Минималната глоба е 5000 Euro.

До
7
млн евро

Важни субекти:

Максималната санкция може да бъде 7 милиона евро или 1,4% от общия годишен световен оборот на компанията от предходната финансова година, което от двете е по-високо.

Минималната глоба е 3500 Euro.

До
600%
възнаграждение

Отговорни лица:

Финансовата санкция може да се определя в размер на не повече от 600 на сто от получаваното от наказаното лице възнаграждение.

До
100
хил лева

Периодични глоби:

Те са възможни, когато субектът забави извършването на дейностите, посочени в предупреждението или решението на органа, отговорен за киберсигурността.

За всеки ден закъснение може да бъде наложена глоба от 120 до 23 000 Euro.

Как да се подготвим за NIS2?

Инструмент, който отговаря на много от ключовите предизвикателства на новата директива, е софтуерът за управление на ИТ Axence nVision®. От своя страна можем да предложим и платформа за да обучавате служители в киберсигурност, което също е задължение, въведено в NIS2. Проверете как можем да ви подкрепим в подготовката за влизане в сила на новите разпоредби. Открийте областите, в които Axence nVision® ще ви помогне.

nVision отговаря на NIS2

Запознайте се с модула Inventory в Axence nVision®. Той ви позволява лесно и бързо да извършите инвентаризация. С негова помощ можете да класифицирате както физически ресурси, като оборудване или елементи на мрежовата инфраструктура, така и нематериални ресурси, напр. Инвентаризацията на ресурсите е от решаващо значение в процеса на анализ на риска. Той позволява подходящо идентифициране на ключови ресурси като елементи на ИТ инфраструктурата и заплахите, които ги засягат. Това е основата за внедряване на интегрирана система за информационна сигурност.

Модулът HelpDesk в Axence nVision® ви позволява да:

✓ Регистрация на събития и инциденти
✓ Бърза реакция и разрешаване на проблеми
✓ Класификация и оценка на инцидента
✓ Възлагане на задачи и ескалация на инциденти
✓ Проследяване и отчитане на напредъка
✓ Водене на документация и правене на заключения за в бъдеще

NIS2 съдържа много стандарти и разпоредби, към които nVision ще ви помогне да се адаптирате

Модул Network – като един от елементите на софтуера Axence nVision®, предотвратява скъпоструващи прекъсвания. Открива аномалии в работата на устройствата и следи параметрите на работата на ключови устройства. Благодарение на Axence nVision® вашето сървърно помещение също е напълно безопасно, вие постоянно следите температурата и влажността в помещението.

В модул Инвентаризация – част от софтуера Axence nVision® – можете да създадете регистър на доставчиците на хардуер и софтуер. Това подобрява сигурността на веригата за доставки. Подходящият инвентар на ресурсите заедно с информацията за производителя на дадено решение улеснява записването на доставчиците и оценката на рисковете, свързани с веригата на доставки.

Axence nVision® ви позволява да анализирате използвани активи в модула Inventory, което е предпоставка за ефективно управление на техническите уязвимости.

Модулът Dataguard в Axence nVision® позволява дистанционно криптиране на устройства и други свързани носители на данни с помощта на функцията BitLocker.

Модулът Inventory в Axence nVision® ви позволява да записвате достъп до информационни системи и да управлявате основни и поддържащи активи.

    За тестова версия се осигуряват всички 6 модула с 50 агента
Изпрати на приятел