NIS 2 цели да повиши сигурността на ИТ системите и

NIS 2 цели да увеличи сигурността на ИТ системите и мрежите в границите на Европейски Съюз
(снимка: CC0 Public Domain)

Новите разпореждания на Европейския съюз, които изискват от бизнеса да ускори своята киберзащита, влизат в деяние постепенно. Много държави-членки не съумяха да одобряват разпоредбите в точния момент, с цел да спазят основен краен период за използване, съгласно изследване, наблюдаващо напредъка на директивата.

Директивата на Европейски Съюз за киберсигурност NIS 2 слага висок стандарт за фирмите във връзка с техните вътрешни системи и практики за киберсигурност. Законът постанова по-строги условия по отношение на ръководството на риска, отговорностите за бистрота и планирането на непрекъснатостта на бизнеса при положение на кибер-пробив.

В четвъртък, 17 октомври, новата инструкция публично влезе в действие за държавите-членки. Това значи, че компаниите в този момент би трябвало да подсигуряват, че интервенциите им дават отговор на разпоредбите. Въпреки това множеството държави-членки на Европейски Съюз към момента не са въвели NIS 2 в личните си национални закони и използването евентуално ще бъде неравномерно.

Две страни – България и Португалия – не са почнали процеса на транспониране на NIS 2, при който директивите се включват в националните закони на страните-членки на Европейски Съюз, съгласно инструмент за следене на интернет изследователската организация DNS Research Federation. „ Внедряване варира доста в целия блок ”, сподели Тим Райт, сътрудник и софтуерен юрист във Fladgate, в репортаж на CNBC.

Какво е NIS 2

NIS 2, или Директивата за мрежова и осведомителна сигурност 2, е инструкция на Европейски Съюз, която има за цел да увеличи сигурността на ИТ системите и мрежите в целия блок. Предложен за първи път през 2020 година, законът служи като актуализация на по-ранна инструкция, наречена просто NIS.

NIS 2 уголемява обсега на своя предходник, с цел да отговори на по-новите провокации и закани за киберсигурността, защото киберпрестъпниците са намерили нови способи да хакнат компании и да компрометират техните чувствителни данни.

Директивата се ползва за организации, които работят в границите на Европейски Съюз и дават съществени услуги на потребителите, в това число банки, снабдители на сила, здравни институции, интернет снабдители, транспортни компании и преработватели на боклуци.

Фирмите ще имат обвързване да рапортуват и споделят информация за кибер-уязвимости и хакове с други компании според новата регулация – даже в случай че това значи да признаят, че са жертва на кибер-пробив.

Ако даден бизнес стане жертва на кибер-пробив, той ще има 24 часа, с цел да изпрати съобщение за ранно предизвестие до управляващите – по-строг график от 72-часовия прозорец, в който компаниите би трябвало да уведомят управляващите за нарушаване на данните според Общия правилник за отбрана на данните, обособен закон за дискретност на данните в Европейски Съюз.

Фирмите също ще би трябвало да ревизират своите снабдители на технологии един по един за киберзаплахи и уязвимости.

Ще бъде ли дейно?

Тим Райт от Fladgate споделя, че успеваемостта на NIS 2 като правилник значително ще зависи от поредното ѝ използване в държавите-членки на Европейски Съюз.

„ Лошите играчи може да се насочат към страни, които изостават в тяхното транспониране на NIS2, или да търсят недостатъци във веригите за доставки, като се насочват към по-малки, по-малко сигурни продавачи и снабдители, с цел да получат достъп до по-големи, по-добре предпазени организации ”, сподели Райт.

Бизнесът работи, с цел да оформи своите вътрешни процеси, надзор и по-широка просвета към киберсигурността от години преди крайния период, изминал в четвъртък.

Крис Гоу, началник за обществената политика в Европейски Съюз на компанията за корпоративни технологии Cisco, сподели, че неравномерният темперамент на внедряването на NIS 2 също е „ остър от локалното адаптиране на закона ”. Това, от своя страна „ основава несъответствия, които могат да се окажат сложни за навигиране, изключително за по-малки организации с лимитирани запаси ”, разяснява Гоу.

Той предложи, вместо да бъдат „ затрупани ” от несъответствия в локалните акомодации на NIS 2, организациите да „ разпознават общо ядро ​​от контроли и процеси за сигурност, които да им оказват помощ както да дават отговор, по този начин и да показват сходство в мащаб ”.

Какво става, в случай че една компания не извърши условията

За „ основни ” субекти като транспортни, финансови и водоснабдителни компании неспазването на NIS 2 може да докара до санкции до 10 милиона евро или 2% от международните годишни доходи – което от двете е по-голямо.

Междувременно „ значими ” бизнеси – като хранителни компании, химически компании и услуги за ръководство на боклуци – чакат санкции до 7 милиона евро или 1,4% от световните си годишни доходи за нарушавания.

Фирмите също могат да бъдат изправени пред вероятни прекъсвания на услугите, в случай че не съблюдават NIS 2, както и пред по-строг контрол.

„ NIS 2 обяснява – огромните санкции, вероятното прекъсване на услугата и мониторингът на сходството се употребяват като лостове за поощряване на организациите, виновни за сериозни услуги, да извърнат внимание на заканите за киберсигурността и техния отговор на тях ”, разяснява Карл Леонард, пълководец по киберсигурност в EMEA Proofpoint.

„ Определена е базова линия във връзка с ограниченията за ръководство на риска и намаляване, в това число ръководство на произшествия, образование на личния състав, отчетност на управлението и доста други ”, добави Леонард.