Рамка за изпълнение на директивата NIS 2.0
-
Директивата NIS 2.0 (ЕС 2022/2555) цели да засили киберсигурността в Европейския съюз чрез въвеждане на строги стандарти за сигурност на мрежите и информационните системи в критични сектори. Тук представяме основните правила и изисквания на NIST 2.0, които трябва да бъдат изпълнени, за да се гарантира съответствието на вашата компания с директивата.
-
NIST 2.0 се прилага за субекти както в основни сектори, така и във важни сек - тори, както е определено в директивата. Тези субекти включват, но не се ограничават до:
Основни услуги:
• Енергия (напр. електричество, газ, нефт)
• Транспорт (напр. въздушен, железопътен, автомобилен, морски)
• Банкови и финансови услуги
• Здравеопазване (напр. болници, аптеки)
• Снабдяване с питейна вода
• Цифрова инфраструктура (напр. облачни услуги, центрове за данни)
• Публична администрация
Доставчици на цифрови услуги:
• Облачни компютърни услуги
• Онлайн пазари
• Търсачки
!! Вашите действия: Определете всички сектори, в които вашата компания оперира и проверете дали попадат в обхвата на директивата NIST 2.0 (основни или важни субекти), като оцените кои вътрешни и външни услуги са засегнати от директивата.
-
NIS 2.0 изисква компаниите, обхванати от директивата, да внедряват ефективно управление на риска и мерки за сигурност.
Основните изисквания включват:
- Оценка на риска за киберсигурността - трябва да се извършват редовно, като се отчитат вероятността и въздействието на потенциални заплахи.
- Вътрешна рамка за управление на риска, която организациите трябвада внедрят, включваща мерки за киберсигурност, планове за реакция при инциденти и защита на критични данни.
- Прилагане на Мерки за сигурност, подходящи технически и организационни, за управление на идентифицираните рискове, които включват: Криптиране на чувствителни данни; Многофакторно удостоверяване (MFA) за достъп до критични системи; Контрол на достъпа за предотвратяване на неоторизиран достъп; Сегментиране на мрежата за минимизиране на щетите в случай на пробив.
- Управление на риска на веригата за доставки и трети страни
Трябва да сте уверени, че киберсигурността се прилага и към партньорите по веригата за доставки и доставчиците на услуги чрез оценки на риска от трети страни и спазване на стандартите NIS 2.0
-
.Съгласно NIS 2.0 докладването на инциденти с киберсигурността трябвада се извършва в стриктни срокове и да включва подробна информация за инцидента.
Основните изисквания включват:
- Докладване на инциденти – Необходимо е да уведомете съответните национални органи и заинтересовани страни за всеки значителен инцидент с киберсигурността в рамките на 24 часа от откриването и да предоставите редовни актуализации и окончателен доклад с информация за въздействието, причината и решението на инцидента.
- План за реагиране при инцидент – Трябва да се създаде план за действие при инциденти, който обхваща процедурите за откриване, реакция, ограничаване и възстановяване след кибер инциденти. Редовно проверявайте и обновявайте този план чрез симулации и тренировъчни упражнения.
-
NIS 2.0 изисква ясни структури на управление, за да се гарантира съответ-ствие и непрекъснато подобряване на киберсигурността.
Основните изисквания включват:
- Управление на киберсигурността: Киберсигурността трябва да бъде стратегически приоритет на най-високите нива на организацията, което означава, че висшият мениджмънт, като например главният изпълнителен директор трябва да носят отговорност за политиките и мерките по киберсигурност. Добра практика е и да се назначи служител по киберсигурността, който да наблюдава внедряването на NIS2 и да ръководи усилията за сигурност.
- Мониторинг на съответствието, като се провеждат текущи вътрешни и външни одити на практиките за киберсигурност, за да се провери съответствието с NIS 2.0.
- Поддържане на постоянна връзка с националните органи за киберсигурност и обменяйте информация относно заплахи, инциденти и най-добри практики.
-
NIS 2.0 установява значителни наказания за неспазване , включително глоби и санкции за компании, които не отговарят на изискванията.
!! Вашите действия:
• Прилагането на необходимите мерки за сигурност и изискванията за док - ладване навреме
• Докладване за инциденти и прилагане на практиките за управление нd риска.
• Обучение на персонала в съответствие с NIS 2.0
• Документиране на всички усилия за съответствие, за да има ясни доказателства в случай на
регулаторен одит или инцидент.
-
График за съответствие
Държавите членки трябва да въведат NIST 2.0 в своето законодателство до 17
октомври 2024 г. и вашата компания трябва да изпълни изискванията на директивата до тази дата, за да избегне значителни наказания.
-
Документация и отчетност - Уверете се, че имате подробна документация за всички процеси и действия, свързани с изпълнението на изискванията на NIST 2.0. Документирайте оценките на риска, мерките за сигурност, докладите за инциденти, оценките на трети страни и структурата на управление. Осигурете предоставянето на годишни или ad-hoc доклади за съответствие на вътрешните и външните заинтересовани страни.
Директивата NIS 2.0 въвежда важни промени за подобряване на киберсигурността в критични сектори в Европейския съюз. Спазването на тези изисквания не само ще осигури съответствие с директивата, но и ще подобри значително киберсигурността на вашата организация. Тази рамка предоставя основата за създаването на цялостна програма за киберсигурност, която отговаря на стандартите на ЕС.
В заключение ще отбележим, че услугите, които предлага Сайбърнетикс, могат да осигурят на Вашата организация решение за изпълнение на изискванията на директивата NIS2. От идентификация на рисковете и внедряване на мерки за сигурност до обучение и консултации, нашият екип от експерти ще са на разположение в процеса на това да гарантират вашето съответствие с всички нормативни изисквания. Ние ще Ви помогнем да извървите пътя към постигане на необходимото ниво на сигурност, което ще направи вашата организация видима като надеждна и сигурна при одити и проверки.