Какво ще се промени в киберсигурността с NIS2

Начало > Автоматизация > Във Фокус > Сп. Инженеринг ревю - брой 6/2024 > 25.09.2024

  • Целта на директивата е да гарантира внедряването на надеждни мерки за управление на риска за мрежовите и информационните системи

  • Компаниите, попадащи в обхвата на NIS2, имат срок до октомври 2024 г., за да постигнат съответствие чрез непрекъснато подобряване на техния капацитет в сферата на киберсигурността

  • Поради факта, че редица индустрии разчитат на стабилното и надеждно функциониране на производствения сектор, този отрасъл ще бъде сериозно засегнат от директивата NIS2

 

Директивата NIS2 (МИС2) е предложена от Европейската комисия през декември 2020 г., за да създаде високо общо ниво на киберсигурност на мрежовите и информационните системи на територията на ЕС. Съвместно със Законодателния акт за киберустойчивост, NIS2 директивата е на път да оформи бъдещето на киберсигурността в Европа.

Директивата е насочена предимно към основни услуги, като енергетика, транспорт, водоснабдяване, дигитална инфраструктура, публична администрация, финанси и др., както и други важни сектори, като производство на храни, пощенски услуги и доставчици на цифрови услуги. Целта й е да гарантира внедряването на надеждни мерки за управление на риска за мрежовите и информационните системи. Тя изисква и незабавното докладване на инциденти, свързани със сигурността.
Държавите членки на ЕС разполагат с време до октомври 2024 г. да транспонират NIS2 в националното законодателство. Компаниите, попадащи в обхвата на NIS2, имат същия срок, за да постигнат съответствие чрез непрекъснато подобряване на техния капацитет в сферата на киберсигурността.

 

Минимални изисквания

Съществуват няколко минимални изисквания, които бизнесите трябва да изпълнят, за да постигнат съответствие с новата NIS директива. На първо място, организациите трябва да установят ясни и цялостни политики за оценка на риска. Това включва идентифициране на уязвимостите в техните системи, следене за потенциални атаки и провеждане на редовни одити по отношение на сигурността.

Бизнесите трябва да въведат и процедури за регулярна оценка на ефективността на функциониращите мерки за сигурност. Това дава възможност за непрекъснато подобрение и адаптиране към еволюиращите заплахи.

NIS2 директивата изисква използването на криптиране, когато това е целесъобразно. Това ще окаже въздействие върху сигурността на данните в процес на пренос и съхранение между и в рамките на организациите.

Наличието на ясен и документиран план за действие е от критично значение за успешната реакция при възникването на инцидент, свързан със сигурността. Според NIS2 този план трябва да очертава процедурите по регистриране, ограничаване, отстраняване и възстановяване в случай на кибератака.
Организациите трябва да имат политики за сигурно набавяне, разработка и експлоатация на информационни системи. Това включва процедури за идентифициране и докладване на уязвимости в придобитите системи.

Спазването на най-добрите практики за сигурност може да предотврати много инциденти. Затова организациите трябва да въведат протоколи за базова компютърна хигиена и да обучат всичките си служители да съблюдават най-добрите практики.

Трябва да се прилага принципът на минималните необходими привилегии в комбинация със строги мерки за контрол на достъпа. Компаниите следва да поддържат опис на всички значими активи и да следят достъпа и работата с тях. Тук от голяма полза могат да бъдат инструменти за установяване и верифициране на самоличността.

Редовните бекъпи и плановете за възвръщане на контрола върху критични информационни системи по време на и след инциденти, свързани със сигурността, са от ключово значение за плановете за осигуряване на непрекъснатост на дейността. Въвеждането на такива планове е от съществена важност за постигане на съответствие с NIS2.

Организациите трябва да се възползват от многофакторната автентикация и други усъвършенствани решения (непрекъсната автентикация, криптиране на глас/видео/текст), където това е уместно, за да подсилят контрола на достъпа и сигурността на комуникацията.
NIS2 директивата подчертава важността на сигурността в снабдителната верига. Затова се изисква холистичен поглед върху риска за сигурността в рамките на цялата снабдителна верига.

 

Енергийния сектор

NIS2 директивата има широкообхватни последствия за енергийния сектор. Основната цел е да се повиши сигурността и издръжливостта на енергийните системи по отношение на кибератаки и други заплахи, поради което е важно енергийните компании да разберат разпоредбите и изискванията на законодателния документ.

Директивата NIS2 изисква от енергийните компании да внедрят подходящи технически и организационни мерки, за да предотвратят, регистрират и реагират на инциденти, които могат да повлияят на сигурността и на непрекъснатостта на енергийните доставки. Това включва мерки за защита на критична инфраструктура, защита на данни и поверителност, както и на наличността на енергийните услуги.
За да гарантират съответствие с директивата NIS2, компаниите и организациите, работещи в енергийния сектор, трябва да назначат отговорно лице, което да ръководи внедряването на мерки, да провежда регулярни оценки на риска и да си сътрудничи с националните компетентни власти, отговарящи за влизането на директивата в сила.

Енергийните компании трябва да предприемат подходящи мерки, насочени към защита на личните данни, които те обработват. Те също отговарят за докладването на всякакви инциденти, които могат да повлияят на сигурността на тези данни. Потребителите имат правото да бъдат информирани за всякакви инциденти и да изискат изтриването на техните лични данни.

NIS2 директивата има потенциала значително да повлияе на енергийния пазар чрез повишаване на доверието на потребителите и на доверието в енергийния сектор, което би довело до увеличена конкуренция и пазарен ръст. В допълнение, директивата може да насърчи един по-устойчив и отговорен енергиен сектор чрез защитата на личните данни.

 

Сектора на дигиталната инфраструктура

Секторът на дигиталната инфраструктура, обхващащ технологични доставчици, като центрове за данни, мрежи за доставка на съдържание и доставчици на удостоверителни услуги, ще бъде сериозно засегнат от директивата NIS2, която ще окаже въздействие върху всеки един оперативен аспект.
NIS2 директивата признава, че заплахите за физическата сигурност представляват сериозен риск за организациите в сектора на дигиталната инфраструктура. В резултат може да се изиска от операторите да монтират охранителни камери и други подобни системи, които могат да помогнат в наблюдението и контролирането на физическия достъп до чувствителни зони.

Операторите в сектора на дигиталната инфраструктура могат да бъдат подложени на засилен регулаторен надзор при предприемането на стъпки от страна на съответните органи на ЕС за внедряване на изискванията на NIS2 директивата, които ще държат компаниите отговорни за защитата на техните критични системи и мрежи.

Организациите в сектора на дигиталната инфраструктура трябва да имат внедрени планове за реакция и възстановяване с цел справяне с потенциални кибератаки. Това включва определянето на персонал, който да ръководи усилията по реагиране, създаването на комуникационни канали за бързо споделяне на информация и установяването на процедури за събиране на доказателства с цел провеждане на разследване и ограничаване на бъдещи рискове.
Вероятно е NIS2 да доведе до повишено търсене на иновативни решения за киберсигурност, тъй като от операторите в сектора се изисква да отговорят на по-високи стандарти в това направление. Това може да насърчи конкуренцията и иновациите в сектора на дигиталната инфраструктура.

 

Производствения сектор

Поради факта, че редица индустрии разчитат на стабилното и надеждно функциониране на производствения сектор, този отрасъл ще бъде сериозно засегнат от директивата NIS2.

Признавайки важната роля, която снабдителните вериги играят по отношение на киберсигурността в производствената промишленост, NIS2 ще изиска от операторите приоритизирането именно на тяхната сигурност. Производителите трябва да оценят и ограничат рисковете за снабдителните си вериги и да дадат приоритет на осигуряването на сигурността на доставчиците, партньорите и подизпълнителите си чрез внедряване на строги мерки и провеждане на редовни оценки за киберсигурността им с цел да се предотврати излагането на цялата екосистема на киберзаплахи.

За да отговорят на изискванията на NIS2 директивата, на производствените организации може да се наложи да работят в по-тясно сътрудничество с доставчиците на ИТ услуги, като управляваните доставчици на услуги за сигурност (Managed Security Service Providers, MSSP) и доставчиците на облачни услуги. Това може да доведе до повишаване на разходите, както и до промени във функциониращите бизнес модели и процеси.

Производствените организации, определени като “важни” съгласно директивата NIS2, ще трябва да внедрят процеси за оценка на риска, отчитащи непрекъснато еволюиращия набор от заплахи. Това може да доведе до инвестиции в нови инструменти и процеси за управление на риска, както и до наемането на допълнително персонал, притежаващ необходимия опит за управление на тези рискове.

Очаква се, че директивата NIS2 ще окаже значително въздействие върху производствения пазар, тъй като ще задължи компаниите да инвестират в мерки, за да постигнат съответствие с изискванията. Тъй като на производителите може да се наложи да отделят по-голям бюджет за инициативи, свързани с киберсигурността, това би могло да повлияе на печалбите им, конкурентоспособността им, както и потенциално да доведе до консолидиране на индустрията, защото за по-малките компании тези допълнителни разходи могат да се окажат предизвикателство.


Вижте още от Автоматизация


Ключови думи: NIS2, киберсигурност, МИС2



Редактор на статията:

ДИЛЯНА ЙОРДАНОВА

ДИЛЯНА ЙОРДАНОВА

Отговорен редактор

• Завършва специалност "Инженерна екология" в Химикотехнологичен и металургичен университет;


• Заема длъжността "Отговорен редактор" в издателство TLL Media от 2020 г.;

• Разполага с над 10 години опит в създаването на съдържание и писането на научни статии.

Контакт в LinkedIn


Top