top of page
news

        Рамка за изпълнение на директивата NIS 2.0

  •  Директивата  NIS 2.0  (ЕС  2022/2555)  цели  да  засили  киберсигурността в Европейския съюз чрез въвеждане на строги стандарти за сигурност на мрежите и информационните системи в критични сектори. Тук представяме основните правила и изисквания на NIST 2.0, които трябва да бъдат изпълнени, за да се гарантира съответствието на вашата компания с директивата.

                                          

  • NIST 2.0 се прилага за субекти както в основни сектори, така и във важни сек - тори, както е определено в директивата. Тези субекти включват, но не се ограничават до:

             Основни услуги:

                      • Енергия (напр. електричество, газ, нефт)

                      • Транспорт (напр. въздушен, железопътен, автомобилен, морски)

                      • Банкови и финансови услуги

                      • Здравеопазване (напр. болници, аптеки)

                      • Снабдяване с питейна вода

                      • Цифрова инфраструктура (напр. облачни услуги, центрове за данни)

                      • Публична администрация

             Доставчици на цифрови услуги:

                     • Облачни компютърни услуги

                     • Онлайн пазари

                     • Търсачки

 

             !! Вашите действия: Определете всички сектори, в които вашата компания оперира и проверете дали попадат в обхвата на директивата NIST 2.0 (основни или важни субекти), като оцените кои вътрешни и външни услуги са засегнати от директивата.

 

  • NIS 2.0 изисква компаниите, обхванати от директивата, да внедряват ефективно управление на риска и мерки за сигурност.

              Основните изисквания включват:

                   -  Оценка на риска за киберсигурността - трябва да се извършват редовно, като се отчитат вероятността и  въздействието на потенциални заплахи.

                  -  Вътрешна рамка за управление на риска, която организациите трябвада внедрят, включваща мерки за  киберсигурност, планове за реакция при инциденти и защита на критични данни.

       - Прилагане на Мерки за сигурност, подходящи технически и организационни, за управление на идентифицираните рискове, които включват: Криптиране на чувствителни данни; Многофакторно                              удостоверяване (MFA) за достъп до критични системи;  Контрол на достъпа за предотвратяване на неоторизиран достъп; Сегментиране на мрежата за минимизиране на щетите в случай на пробив.

                     - Управление на риска на веригата за доставки и трети страни

Трябва да сте уверени, че киберсигурността се прилага и към партньорите по веригата за доставки и доставчиците на услуги чрез оценки на риска от трети страни и спазване на стандартите NIS 2.0

 

  • .Съгласно NIS 2.0 докладването на инциденти с киберсигурността трябвада се извършва в стриктни срокове и да включва подробна информация за инцидента.

              Основните изисквания включват:

              - Докладване на инциденти – Необходимо е да уведомете съответните национални органи и заинтересовани страни за всеки значителен инцидент с киберсигурността в рамките на 24 часа от откриването и да предоставите редовни актуализации и окончателен доклад с информация за въздействието, причината и решението на инцидента.

          - План за реагиране при инцидент – Трябва да се създаде план за действие при инциденти, който обхваща процедурите за откриване, реакция, ограничаване и възстановяване след кибер инциденти. Редовно проверявайте и обновявайте този план чрез симулации и тренировъчни упражнения.

 

  • NIS 2.0 изисква ясни структури на управление, за да се гарантира съответ-ствие и непрекъснато подобряване на киберсигурността.

              Основните изисквания включват:

                  - Управление на киберсигурността: Киберсигурността  трябва  да  бъде стратегически приоритет на най-високите нива на организацията, което означава, че висшият мениджмънт, като например главният изпълнителен директор трябва да носят отговорност за политиките и мерките по киберсигурност. Добра практика е и да се назначи служител по киберсигурността, който да наблюдава внедряването на NIS2 и да ръководи усилията за сигурност.

                - Мониторинг на съответствието, като се провеждат текущи вътрешни и външни одити на практиките за киберсигурност, за да се провери съответствието с NIS 2.0.

                      - Поддържане на постоянна връзка с националните органи за киберсигурност и обменяйте информация относно заплахи, инциденти и най-добри практики.

 

  • NIS 2.0  установява  значителни  наказания  за  неспазване , включително глоби и санкции за компании, които не отговарят на изискванията.

                      !! Вашите действия:

                            • Прилагането на необходимите мерки за сигурност и изискванията за док - ладване навреме

                            • Докладване за инциденти и прилагане на практиките за управление нd риска.

                            • Обучение на персонала  в съответствие с NIS 2.0

                            • Документиране  на всички усилия за съответствие, за да има ясни доказателства в случай на   

регулаторен одит или инцидент.

 

  • График за съответствие

Държавите членки  трябва  да  въведат  NIST 2.0  в своето законодателство до 17

октомври 2024 г. и вашата компания трябва да изпълни изискванията на директивата до тази дата, за да избегне значителни наказания.

 

  • Документация  и  отчетност - Уверете се, че имате подробна документация за всички процеси и действия, свързани с изпълнението на изискванията на NIST 2.0. Документирайте оценките на риска, мерките за сигурност, докладите за инциденти, оценките на трети страни и структурата на управление. Осигурете предоставянето на годишни или ad-hoc доклади за съответствие на вътрешните и външните заинтересовани страни.

 

     Директивата NIS 2.0 въвежда важни промени за подобряване на киберсигурността в критични сектори в Европейския съюз. Спазването на тези изисквания не само ще осигури съответствие с директивата, но и ще подобри значително киберсигурността на вашата организация. Тази рамка предоставя основата за създаването на цялостна програма за киберсигурност, която отговаря на стандартите на ЕС.

 

          В заключение ще отбележим, че услугите, които предлага Сайбърнетикс, могат да осигурят на Вашата организация решение за изпълнение на изискванията на директивата NIS2. От идентификация на рисковете и внедряване на мерки за сигурност до обучение и консултации, нашият екип от експерти  ще  са на разположение в процеса на това да гарантират вашето съответствие с всички нормативни изисквания. Ние ще Ви помогнем да извървите пътя към постигане на необходимото ниво на сигурност, което ще направи вашата организация видима като надеждна и сигурна при одити и проверки.

bottom of page