Кого ще засегне новата европейска директива за киберсигурност NIS2
Ще повлияе ли тя на опциите за потребление на програмен продукт от вторичния пазар
Светлин Желев 22:18 | 10.02.2025 0 СподелиНай-четени
КосмосЕмил Василев - 12:27 | 09.02.2025Учените удвоиха вероятността новооткрит метеорит да се сблъска със Земята през 2032 година
ТелефониСветослав Димитров - 17:13 | 09.02.2025Потребителите на Android-смартфони ще могат да изтриват известията след изпращането им: по какъв начин
ТелефониСветослав Димитров - 14:30 | 09.02.2025Не всички смарт телефони на Samsung ще получат One UI 7: ето и лист
Светлин Желевhttps://www.kaldata.com/Главен редакторДирективата NIS2 (Network and Information Security) беше утвърдена от Европейския съюз през декември 2022 година и обособените страни от Европейски Съюз бяха задължени да я приложат до 18 октомври 2024 година На процедура обаче тя към момента не е въведена в законодателството на доста държави-членки на Европейски Съюз.
NIS2 – кой е обиден?
Новото законодателство ще обхване десетки хиляди компании в целия Европейски съюз, внасяйки обилни промени в метода, по който се ръководи киберсигурността в обществения и частния бранш. За разлика от своя предходник – първата инструкция за мрежова и осведомителна сигурност – новата версия обгръща обществената администрация, хранителния бранш, промишлеността и ръководството на отпадъците, както и други браншове.
Директивата дефинира два вида субекти:
● Основни субекти с най-широк набор от отговорности.
● Важни субекти, които би трябвало да дават отговор на по-малко строги условия, само че също подлежащи на регулация.
Като основни субекти и значими субекти нормално могат да се смятат субекти от секторите, изброени в приложения I и II на директивата, които са минимум приблизително дружество (с личен състав от минимум 50 души или чийто годишен оборот надвишава 10 милиона евро). Също по този начин са включени други обекти, дефинирани от директивата NIS2, например субекти на обществената администрация, субекти, избрани като сериозни субекти според Директива (ЕС) 2022/2557, снабдители на публични електронни съобщителни мрежи или на публично налични електронни съобщителни услуги, снабдители на квалифицирани удостоверителни услуги и регистри на имена на домейни от първо равнище, както и снабдители на DNS услуги, без значение от размера им. Други субекти също могат да бъдат включени въз основа на националното законодателство.
Директивата обаче включва няколко изключения. До 17 април 2025 година всички държави-членки би трябвало да основат описи с горепосочените субекти, които да бъдат обхванати от новите разпореждания.
Когато се занимавате с киберсигурност, става въпрос за внедряване на система за ръководство на киберсигурността и постоянно би трябвало да имате поради:
● степента на риск
● степента на идните последствия
● наличния бюджет
● целенасоченост.
NIS2 и софтуера от вторичния пазар
Когато избирате следпродажбен програмен продукт, който постоянно разрешава усъвършенстване на разноските до 70 % от цената, в съпоставяне със закупуването на софтуера непосредствено от производителя, би трябвало да имате поради няколко съображения за киберсигурност.
Тези препоръки ще бъдат потребни освен в подтекста на използване на наредбите на директивата NIS2, само че и за сигурното ръководство на ИТ инфраструктурата в една организация като цяло.
Най-важното е, че би трябвало да се стремите да употребявате програмен продукт, чийто витален цикъл на продукта не е завършил. Това значи, че за подобен артикул производителят към момента дава най-новите актуализации, засягащи, наред с други неща, усъвършенстваната киберсигурност.
Този цикъл от време на време продължава до десетина години, само че постоянно си коства да попитате софтуерен брокер за детайлности и професионална помощ. Би било още по-препоръчително, в случай че определеният брокер предлага уголемен набор за поддръжка, в това число техническа, лицензионна, за сходство и правни услуги – метод, отразен в предложенията на надеждни компании като Forscope.
Тук си коства да споменем, че виталният цикъл на софтуера нормално се състои от четири етапи:
● Първата е цялостна поддръжка, при която софтуерът получава всички актуализации – обхващащи както проблеми със сигурността, по този начин и други области – и разрешава поръчки за промени в продукта или неговите функционалности от производителя.
● Втората е разширена поддръжка. Различава се от първата, основно тъй като към този момент не е допустимо да се изискват промени в продукта или функционалността, защото към този момент не са налични актуализации, които не са свързани с киберсигурността. Други детайли, като актуализации за киберсигурност и достъп до поддръжка, остават същите.
● Третата е етапа след поддръжката. След това към момента е допустимо да употребявате актуализации за киберсигурност за известно време, само че единствено против спомагателна такса. В същото време това е последният миг да се огледаме за по-нов програмен продукт.
● Софтуер, който към този момент не се поддържа.
Алтернатива на етапи три и четири може да включва потреблението на специфични решения за възстановяване на киберсигурността на софтуера, който към този момент не се поддържа от производителя. Тези решения могат също да бъдат предложени и предоставени от софтуерни брокери.
Следователно тези, които ръководят ИТ инфраструктурата на организацията, би трябвало да не не помнят постоянно да конфигурират корекции и актуализации, които могат да оказват помощ за попречване на излагането на системите на офанзиви.
Освен това постоянно се уверявайте, че употребявате тестван програмен продукт, възложен от приближен брокер. Това е от значително значение, защото на пазара има измамници, които оферират да вземем за пример единствено продуктови ключове без подобаваща документи. Незаконното закупуване на подобен програмен продукт усилва риска от правосъдни разногласия, отговорност за вреди от нарушени права на интелектуална благосъстоятелност и, при положение на инсталиране от непознати инсталационни файлове, риска от инсталиране на злотворен програмен продукт. Ето за какво е извънредно значимо да изберете приближен снабдител.
Другите проблеми са универсални и се отнасят за всеки вид програмен продукт, само че въпреки всичко си заслужава да бъдат упоменати.
Използването на елементарни, повтарящи се пароли, които атакуващите могат елементарно да разкрият, би трябвало да се заобикаля. Въпреки необятно публикуваните препоръки да изберете ключова дума с най-малко 8 знака, в това число основни и дребни букви, специфични знаци и числа, доста по-добре е да изберете добре запаметяваща се фраза като ключова дума. Значителното увеличение на дължината на паролата усилва общия брой вероятни комбинации, а лесното запомняне понижава риска потребителят да запише паролата някъде. Това акцентира смисъла на постоянното образование на чиновниците по отношение на рисковете за киберсигурността и ограниченията, нужни за тяхното намаляване.
Редовното архивиране е от значително значение, с цел да се избегне необратимата загуба на огромни количества данни при положение на случай.
Физическата сигурност на инфраструктурата също би трябвало да бъде приоритет. Мениджърите би трябвало да подсигуряват, че достъпът до зоните, в които се намират ИТ системи, е строго следен и че цялата ИТ инфраструктура е предпазена против обири и бойкот.
И най-после, добре е да запомните, че киберсигурността не се отнася единствено до ИТ, само че и до физическа сигурност и обучение. Средствата, които могат да бъдат спестени посредством рентабилно закупуване на лицензи, могат да се употребяват за подсилване на физическата сигурност, образование на потребителите или други вложения в ИТ сигурност.
Мнението е на Michal Baudys, Public Sector Strategy Leader за пазарите от Европейски Съюз във Forscope.
