Преглед на директивата NIS2
Разговаряхме с адвокатски кантори и дори те понякога са объркани относно това кои дружества трябва да спазват Директивата NIS2. Дали тя се отнася само за дружества в ЕС? Прилага ли се за глобални дружества, които извършват дейност в ЕС? Както винаги, дяволът се крие в детайлите. Нека се опитаме да разплетем тази тема.
Директивата NIS2 е актуализация на първоначалната директива на ЕС за мрежова и информационна сигурност (NIS), която беше публикувана през 2016 г.
Тя има за цел да подобри киберсигурността и устойчивостта на ключови сектори в целия Европейски съюз. Идеята е, че ако всички компании, които трябва да спазват изискванията, ги спазват, техният сектор ще бъде по-сигурен като цяло. Имаме своите съмнения относно възможностите на ЕС за одит и прилагане – в крайна сметка повечето други директиви и регламенти за киберсигурност, издадени от законодателните органи на ЕС, се провалиха. Тази е най-разгласената и има смисъл поне да се опитаме да я спазваме. В края на краищата това е от полза за вашата компания и вашите клиенти.
Директивата се прилага за широк кръг отрасли, които са от решаващо значение за обществените и икономическите функции, и е правно обвързващо изискване за засегнатите предприятия.
Какво означава спазването на NIS2 за компаниите
Мерки за управление на риска, изисквани от NIS2
NIS2 изисква цялостен подход към управлението на риска. Вашата организация трябва редовно да оценява уязвимостите както в цифровите, така и във физическите системи. Не е достатъчно да разполагате с основна защитна стена или антивирусно решение; ще ви е необходимо:
-
Разширени оценки на риска: Това включва непрекъснато наблюдение на вашата мрежа, идентифициране на потенциални уязвимости и разбиране на това как външните заплахи биха могли да повлияят на вашите критични услуги. Въпросът, който трябва да си зададете, е: имате ли на разположение мениджър по риска? Трябва ли да го възложите на външен изпълнител?
-
Политики за сигурност и контрол: NIS2 изисква да се създадат и поддържат подробни политики за киберсигурност, насочени към поверителността, целостта и наличността на данните. Това включва контрол на достъпа, за да се гарантира, че само оторизиран персонал има достъп до чувствителни системи и данни. Моля, не купувайте пакети с политики – ако го направите, политиките ви ще бъдат „беззъби“ и одиторът може да ви откаже за това, че не ги използвате на практика.
-
Процедури за обработка на инциденти: Освен подготовка за атаки, ще са ви необходими и документирани процедури за справяне с инциденти в реално време. Как ще ограничите атаката? Как ще смекчите въздействието ѝ? И ако разполагате с политиките, практикувате ли ги?
Колко бързо трябва да докладваме за инциденти в областта на киберсигурността?
Едно от по-сложните изисквания на NIS2 е срокът за докладване на инциденти. Дружествата трябва да докладват за значими инциденти в областта на киберсигурността на своите национални екипи за реагиране при инциденти в областта на компютърната сигурност (CSIRT) в рамките на 24 часа от откриването им.
След първоначалния доклад екипът ви трябва да представи по-подробен доклад за последващи действия в рамките на 72 часа, в който да опише степента на нарушението, как е било обработено и какви стъпки за отстраняване са били предприети. Неспазването на тези срокове за докладване може да доведе до санкции, така че наличието на план за реакция при инциденти е от решаващо значение.
Засяга ли NIS2 нашите доставчици от трети страни?
Да, и точно тук става интересно. NIS2 поставя голям акцент върху сигурността на веригата за доставки. Ако доставчиците ви или доставчиците на услуги са част от критичната инфраструктура или обработват чувствителни данни за вас, те също трябва да отговарят на стандартите на NIS2.
Ето няколко въпроса, които да си зададете:
- Спазват ли изискванията нашите доставчици? Трябва да се уверите, че доставчиците на трети страни се придържат към практики за сигурност, които съответстват на вашите собствени.
- Налагат ли се в нашите договори изисквания за сигурност? Прегледайте договорите си с трети страни. Описват ли те очакванията за сигурността, докладването на инциденти и протоколите за управление на риска?
Не е достатъчно да защитите собствената си мрежа, ако допускате уязвимости на трети страни в екосистемата си. Помислете за изискване на проверки за съответствие и одити за вашите партньори.
Какво да кажем за плановете за непрекъсваемост на бизнеса и възстановяване при бедствия?
Силен акцент в NIS2 е оперативната устойчивост. Не става дума само за защита от атаки, а за осигуряване на непрекъснатост, когато нещо неизбежно се обърка. Това включва наличието на:
-
Планове за непрекъсваемост на дейността (BCP): Как вашата организация ще поддържа критичните операции по време на инцидент, свързан с киберсигурността? NIS2 изисква да разполагате с надежден ПБП, за да се гарантира минимално прекъсване.
-
Възстановяване при бедствия (DR): Нуждаете се от стратегия за възстановяване, която да включва редовни резервни копия на системите, резерви и тествани процедури за възстановяване, за да може операциите да бъдат възстановени след инцидент.
Запитайте се: Тествали ли сме наскоро нашия план за възстановяване след бедствие? Съответствието с NIS2 означава, че не можете просто да създадете тези планове, а трябва редовно да ги тествате, за да сте сигурни, че те работят под натиск.
Как да изпреварим уязвимостите?
Накрая, NIS2 ясно посочва необходимостта от управление на уязвимостите. Това не е еднократна дейност. Трябва активно да наблюдавате и да поправяте уязвимостите веднага след като бъдат идентифицирани. Това се отнася както за софтуера, така и за хардуера.
Обмислете тези въпроси:
- Колко бързо поправяме уязвимостите? Закъснялата кръпка за някой софтуер, приложение или софтуерен елемент може да се окаже „прозорец“ за нападателите. При NIS2 ще ви е необходим рационализиран процес за идентифициране и отстраняване на уязвимости.
- Наблюдаваме ли всички крайни точки? Всяка крайна точка – от лаптопите до устройствата на IoT – трябва да бъде защитена. Това е особено важно в отрасли, в които оперативните технологии (ОТ) и информационните технологии (ИТ) се припокриват, като например енергетиката или производството.
- По-широк обхват на NIS2:
- NIS2 разширява обхвата на дружествата в сравнение с NIS1, като обхваща както основни, така и важни субекти. Директивата вече включва повече отрасли и организации, което я прави по-подходяща за по-широка група дружества.
Дружества и сектори, от които се изисква да спазват изискванията на NIS2
- Основни субекти:
- Енергия:
- Дружествата за производство, пренос и разпределение на електроенергия попадат в обхвата на NIS2 поради критичната им роля в инфраструктурата. Енергийните дружества трябва да поддържат сигурността и наличността на услугите, тъй като по време на конфликт или по принцип енергийните дружества са най-често обект на посегателства от страна на чужди държави и хакери. Прекъсването на производството на енергия обикновено е първата цел на противника.
- Здравеопазване:
- Болниците, медицинските институции и доставчиците на здравни услуги трябва да спазват изискванията поради обработката на чувствителни лични данни и ролята им в предоставянето на услуги с критично значение за живота.
- Транспорт и логистика:
- Дружествата, участващи във въздушния, железопътния, водния и автомобилния транспорт, подлежат на NIS2, за да се гарантира непрекъснатият поток на стоки и хора. Може би ще се изненадате, но мрежите от бензиностанции и дори отделните бензиностанции се считат за критична инфраструктура. Представете си какво би се случило, ако компютърната мрежа на голяма мрежа за зареждане с горива се срине за ден или два?
- Енергия:
- Важни субекти:
- Цифрова инфраструктура:
- Доставчиците на облачни услуги, операторите на центрове за данни и доставчиците на цифрови услуги трябва да спазват изискванията, тъй като техните услуги са в основата на голяма част от цифровата икономика и други важни сектори.
- Финансов сектор:
- Банките, застрахователните дружества и фирмите за финансови услуги попадат в НИС2 поради обработката на огромни количества финансови данни и съществената им роля за поддържане на икономическата стабилност.
- Публична администрация и правителствени услуги:
- Местните и националните правителствени органи, които предоставят основни обществени услуги, са включени поради ролята им в управлението на чувствителни обществени данни и осигуряването на достъпност на услугите.
- Цифрова инфраструктура:
Защо дори по-малките компании в засегнатите сектори трябва да спазват изискванията
- Прагове и критерии:
- Макар NIS2 да се прилага предимно за средните и големите предприятия, някои малки предприятия в критични сектори също са задължени да спазват изискванията, ако отговарят на конкретни критерии, като например предоставяне на ключови услуги на големи предприятия или работа с критична инфраструктура.
- Значение на сигурността на веригата на доставки:
- Повишено е вниманието към управлението на риска от трети страни в рамките на NIS2, което означава, че по-малките компании, които са част от веригата за доставки за по-големи критични организации, вероятно ще бъдат подложени на натиск да спазват изискванията.
- Риск от неспазване на изискванията:
- Има санкции и глоби за неспазване на изискванията, които могат да бъдат значителни за компаниите, които не спазват стандартите на NIS2. Дори по-малките организации могат да се сблъскат със сериозни финансови последици, ако се установи, че са пренебрегнали задълженията си за сигурност.
Регулаторен и правен натиск, стимулиращ приемането на NIS2
- Задължителна правна рамка:
- За разлика от доброволните рамки за съответствие, NIS2 е задължителна директива, която изисква от дружествата в засегнатите сектори да прилагат конкретни мерки за киберсигурност.
- Националните регулаторни органи ще прилагат директивата и предприятията трябва да са подготвени за одити и проверки.
- Трансгранично въздействие:
- NIS2 е хармонизирана директива в целия ЕС, което означава, че компаниите, работещи в няколко държави, трябва да се придържат към единен набор от стандарти за киберсигурност. Това спомага за рационализиране на съответствието, но също така увеличава сложността за организациите с трансгранични операции.
- Съгласуване с други стандарти за съответствие:
- NIS2 е в съответствие с други разпоредби като GDPR по отношение на задълженията за сигурност, което може да улесни спазването на изискванията за организации, които вече са запознати с тези рамки. Обяснете как това пресичане означава, че стратегиите за киберсигурност често могат да отговарят както на NIS2, така и на други нормативни изисквания.
Фирми, работещи с критични данни или инфраструктура (150-200 думи)
- Доставчици на телекомуникационни услуги:
- Компаниите, предоставящи интернет и мобилни комуникационни услуги, отговарят за поддържането на сигурността и наличността на мрежовата инфраструктура. NIS2 настоява за по-стабилни протоколи за докладване на инциденти и защита в този сектор.
- Доставчици на облачни услуги и цифрови платформи:
- Обсъдете как компаниите, които хостват големи обеми от данни или предоставят основни онлайн платформи, се считат за неразделна част от поддържането на цифровата икономика, което изисква засилени практики за сигурност и съответствие.
- Критично производство:
- Производителите, които произвеждат компоненти на критичната инфраструктура, като например микрочипове или промишлено оборудване, са обхванати от NIS2. Сривът в тяхната киберсигурност може да доведе до широкомащабни икономически смущения, поради което е необходимо да се спазват изискванията.
Конкурентни предимства на съответствието с NIS2
- Изграждане на доверие с клиенти и партньори:
- Фирмите, които спазват изискванията на NIS2, могат да предложат ясно предимство, като демонстрират на клиентите и партньорите си, че са сериозно ангажирани с киберсигурността и защитата на данните. Това изгражда дългосрочно доверие.
- Подобряване на кибер устойчивостта:
- Подчертайте как спазването на изискванията укрепва процесите на вътрешна сигурност и прави компаниите по-устойчиви на кибератаки. Това намалява времето за престой и помага за осигуряване на непрекъснатост, особено за тези, които предоставят критични услуги.
- Навлизане на нови пазари и разширяване на дейността в световен мащаб:
- За компаниите, които искат да разширят дейността си на европейския пазар, съответствието с NIS2 може да послужи като регулаторно изискване и конкурентно предимство. Изтъкнете, че демонстрирането на съответствие в търгове и договори прави компанията по-привлекателна за големи клиенти или възможности в публичния сектор.
- Намаляване на финансовите рискове:
- Спазването на изискванията на NIS2 намалява вероятността от налагане на големи глоби за нарушения на киберсигурността, помага за намаляване на риска от увреждане на репутацията и ограничава потенциалните загуби, дължащи се на прекъсвания на работата в резултат на киберинциденти.
Изключения: Компании, които може да не се налага да спазват NIS2
- Несъществени, нецифрови субекти:
- Компаниите, които не предоставят критични услуги или не управляват значителни количества цифрови данни, обикновено са освободени от NIS2. Хотелиерството и търговията на дребно обикновено не попадат в обхвата на директивата.
- Малки и микропредприятия:
- Много малките предприятия, особено тези извън критичните сектори, може да не са длъжни да спазват изискванията. Това обаче не ги освобождава от други отговорности в областта на киберсигурността, особено ако работят с по-големи организации, които могат да изискват от тях да спазват най-добрите практики в областта на сигурността.
- Компании, които не работят в ЕС:
- Дружествата извън ЕС, които не предоставят услуги или не обработват данни на европейския пазар, не са пряко засегнати от NIS2. Ако обаче си партнирате със структури, базирани в ЕС, или извършвате трансгранична дейност, спазването на изискванията може да се превърне във фактор.
Стъпки за подготовка за съответствие с NIS2
- Оценете значението на вашата организация за NIS2:
- Вашето дружество попада в обхвата на директивата NIS2, ако работите в или със секторите, изброени по-горе. Важното разграничение тук е дали сте основна или важна структура. Можете ясно да ги видите в PDF файла, към който е даден линк тук.
- Създаване на рамка за киберсигурност:
- Трябва да възприемете подход за управление на риска, който включва идентифициране, оценка и намаляване на рисковете за киберсигурността, както е посочено в NIS2. С други думи, трябва да изградите план на програмата за информационна сигурност и да започнете да работите по него.
- Подобряване на механизмите за докладване на инциденти:
- Нуждаете се от подходящи канали и процеси за докладване на инциденти, свързани с киберсигурността, в рамките на задължителните срокове, определени от NIS2. Но за да имате това, не е достатъчно просто да купите куп документи и да ги „имате“. Както в рамката за киберсигурност, спомената по-горе: първо станете сигурни. След това ще разполагате с възможности за откриване на инциденти и реагиране на тях. Да станете сигурни означава да работите по 28 категории контроли за сигурност и постепенно да внедрявате съответните от тях във вашата компания.
- Осигуряване на съответствие с доставчиците на трети страни:
- Проверете внимателно доставчиците си от трети страни, за да се уверите, че те също отговарят на изискванията, тъй като NIS2 поставя силен акцент върху сигурността на веригата за доставки. Ако някой от вашите доставчици или доставчици на услуги (например вашата компания за управление на ИТ услуги) бъде хакнат, вие също може да бъдете нарушени и ще бъдете отговорни за това, че не сте ги попитали за тяхната сигурност, не сте проследили и не сте изискали от тях да прилагат вашите стандарти за защита.
- Текущи одити и мониторинг на сигурността:
- Компанията ви трябва да извършва редовни одити на сигурността и да следи непрекъснато за уязвимости, за да се увери, че отговаря на изискванията на NIS2.