Основната цел на директивата NIS2 е да повиши нивото на киберустойчивост в целия Европейски Съюз, като изисква от всички субекти, които предоставят критични услуги на икономиката и обществото като цяло, да предприемат подходящи мерки за киберсигурност. Тя определя изисквания за киберсигурност в мрежите и информационните системи, като обхваща частни и публични доставчици на жизнено важни услуги – или така наречените оператори на основни услуги. Основата на МИС е нарастващата заплаха за всички видове организации – не на последно място от трети страни.
NIS2 ще се прилага от 18 октомври 2024 г.
Вижте дали вашата организация попада в рамките на директивата тук.
Какво трябва да направите, за да осигурите съответствие с NIS2?
Според МИС2, организациите трябва да предприемат подходящи и пропорционални действия за управление на риска, за да предотвратят инциденти със сигурността и да сведат до минимум тяхното въздействие.
Директивата дава списък от 10 основни мерки, които всички организации трябва да предприемат:
- Политики за анализ на риска и сигурност на информационните системи;
- Обработка на инциденти;
- Непрекъснатост на бизнеса, като управление на архивиране и възстановяване след бедствие и управление на кризи;
- Сигурност на веригата за доставки, включително аспекти, свързани със сигурността, отнасящи се до взаимоотношенията между всеки субект и неговите преки доставчици или доставчици на услуги;
- Сигурност при придобиване, развитие и поддръжка на мрежови и информационни системи, включително обработка и разкриване на уязвимости;
- Политики и процедури за оценка на ефективността на мерките за управление на риска за киберсигурността;
- Основни практики за киберхигиена и обучение по киберсигурност;
- Политики и процедури относно използването на криптография и, където е подходящо, криптиране;
- Сигурност на човешките ресурси, политики за контрол на достъпа и управление на активи;
- Използването на решения за многофакторно удостоверяване или непрекъснато удостоверяване, защитени гласови, видео и текстови комуникации и защитени системи за спешна комуникация в рамките на предприятието – когато е подходящо.
Какво означава това за вас? Няколко практични стъпки
Следва да определете кои са вътрешните и външните рискове - всеки бизнес има свои уникални предизвикателства. Разберете какви заплахи могат да засегнат вашата индустрия и в частност – конкретното предприятие.
Следващата стъпка е да се обновят политиките и процедурите за киберсигурност, за да отговорят на изискванията на NIS2. Но само документалното съответствие няма да помогне, ако нямате добре обучен персонал. Съветваме ви, освен в служителите, да инвестирате в обучение и на управленските нива, за да осъзнаят важността на проблема. Има подходящи тренинги, които симулират киберинцидент и тестват в контролирана среда как работят политиките ви и какви биха били щетите при киберинцидент върху Вашата организация и колко бързо бихте могли да възстановите нормалните бизнес процеси след инцидента.
След обучението на персонала идва ред на инвестицията в съвременни решения за киберсигурност, за да гарантирате, че сте защитени от най-новите заплахи. Погрижете се за постоянен надзор чрез системи за мониторинг, които да наблюдават вашите мрежи 24/7.
Същевременно компаниите трябва да разработят план за реагиране при инциденти в случай на кибератака, включително възстановяване на данните и комуникация с клиенти.
Вижте всички изисквания, които ще ви помогнат да сте уверени, че отговаряте на изискванията.
Санкциите са в размер до 10 милиона евро или 2 процента от общия оборот на предприятието в световен мащаб за неспазване на мерките за докладване и/или управление на риска за киберсигурността за основни организации и 1,4% от глобалните годишни приходи, минимум 7 млн. евро за важните организации.
Какво може Cyberone да направи за Вас?
- Да коментираме заедно въпросника и да определим, къде можем да ви помогнем;
- Консултиране при открити несъответствия с директивата и асистиране при изграждането и внедряването на необходимите механизми за защита в съответствие с изискванията;
- Обучения, целящи запознаване на персонала с NIS2, както и с основните изисквания и правила за поддържането на добра киберхигиена в организацията;
- Внедряване на подходящи решения за киберсигурност.
