Ревизираната директива на ЕС относно сигурността на мрежите и информационните системи (NIS2) определя основни мерки за управление на риска за сигурността за всички субекти, работещи в секторите, попадащи в нейния обхват. Директивата прилага подход „всички опасности“, като по този начин мерките за управление на риска трябва да включват както физическата сигурност така и сигурността на околната среда (напр. природни бедствия, системни повреди).
Всичко, което трябва да знаете, за новата Директива NIS2
От основните и важни субекти (Разширеният обхват включва повече сектори, които се наричат или „основни“, или „важни“ субекти въз основа на това колко критични са за икономиката и обществото ) се изисква да предприемат подходящи технически, оперативни и организационни мерки за защита на мрежата и информационните системи на субекта срещу всякакви заплахи за сигурността. Съгласно NIS2 от тях се очаква да приложат поне няколко мерки за сигурност, изброени в ревизираната директива, например установяване на политики за контрол на достъпа и създаване на процедура за обработка на инциденти.
Докладване на инциденти
Основните и важни субекти трябва да уведомяват за значителни пробиви в сигурността националния екип за реагиране при инциденти с компютърната сигурност (CSIRT) след многоетапен процес. Първоначалното известие трябва да бъде подадено в рамките на 24 часа, последвано от второ в рамките на 72 часа след узнаването на значим инцидент. До един месец трябва да бъде подаден окончателен доклад с допълнителна информация за нарушението.
Държавите-членки на ЕС са отговорни за определянето на националния компетентен орган, който ще наблюдава спазването на NIS2.
Директивата NIS2 предвижда минимален списък от средства, чрез които компетентните органи могат да контролират основните и важните субекти. Например, органите могат, наред с друго, да извършват проверки на място или отдалечено, да изискват достъп до информация и документи.
Докато окончателната форма на законодателството за NIS2 се оформя, CISO трябва да започнат да планират необходимите действия. Това може да са някои от първите стъпки, които трябва да вземат под внимание:
- ISMS – Управление на информационната сигурност
- Консултации относно прилагането на контроли за сигурност
- Обучение и информираност за борда на директорите
- Оценка на метода за управлението на инциденти
На всички организации се препоръчва първо да проверят дали попадат под обхвата на Директивата. Ако отговорът е „да“, силно се препоръчва да започнете да се подготвяте за съответствие възможно най-скоро, а не да чакате крайния срок за транспониране на директивата в националното законодателство през 2024г. Ако една организация има ниска или никаква приложена кибер защита, ще отнеме много време да достигне очакваното ниво на съответствие с изискванията на NIS2.
Как IT Services може да ви помогне да се съобразите с изискванията на NIS2?
Отделът за одит и бизнес консултации на IT Services може да помогне на организациите по пътя към съответствие с Директивата NIS2. Ние можем да определим нивото на съответствие и да ви помогнем да приложите необходимите мерки.
В зависимост от състоянието на сигурността на вашата организация, посочените по-долу теми са ключови фокусни точки за подобрение:
- План и програма за бюджетиране на киберсигурността (приемане на ISO27001)
- Прилагане на програма за информираност относно сигурността (обучения на служителите)
- Оптимизиране на управлението на вашите кибератаки
- Подобряването на цялостната техническа сигурност на вашата организация (мрежа, контрол на достъпа, и др.)
Работата по тези теми ще подобри вашата киберсигурност и ще гарантира съответствие с директивата NIS2.