NIS2 – Регулиране за по-безопасно бъдеще
NIS2 е т.нар. общоевропейска директива за киберсигурност, която влезе в сила през октомври 2024 г. В сравнение с NIS1, NIS2 въвежда значителни промени, които ще наложат и по-строги задължения за киберсигурност на повече организации. От държавите членки ще се изисква да приемат нови разпоредби, съдържащи тези по-строги мерки за контрол и правоприлагане, за да се гарантира спазването на директивата. NIS2 заменя директивата NIS1, което води до няколко съществени разлики в сравнение с NIS1: NIS2 разширява обхвата на директивата, като обхваща по-големи организации, като например производители на химически и медицински изделия, производители на храни и доставчици на социални мрежи, които досега не бяха обхванати от NIS1. NIS2 заменя разграничението между „оператор на съществени услуги“ и „доставчик на цифрови услуги“ с „съществени субекти“ и „критични субекти“, основани, наред с другото, на размера и сектора. Макар че и двата вида субекти имат сходни задължения, ключовите субекти са обект на по-строги мерки за прилагане и контрол. Секторният надзорен орган трябва да носи отговорност за мерките за контрол.
NIS2 налага нови задължения в областта на киберсигурността на „основни“ и „критични“ субекти, включително управление на риска и веригата за доставки, докладване на киберинциденти и обмен на информация. Спазването на тези изисквания ще изисква от лицата, попадащи в обхвата, да разработят и приложат нови политики и процедури. NIS2 изисква от държавите – членки на ЕС, да подобрят националните си стратегии за киберсигурност и да отговорят на цифровите заплахи, пред които са изправени. За организациите е важно да бъдат в крак с бъдещите инициативи на държавите членки в тази област.
Засилени изисквания за сигурност
NIS2 ще подобри изискванията за сигурност на предприятията чрез въвеждане на методология за управление на риска и минимален списък с основни елементи на сигурността. Директивата съдържа и много по-подробни разпоредби относно докладването на инциденти, включително например съдържанието и сроковете за докладване. Съгласно директивата уведомяването трябва да се извършва в рамките на 24 часа от възникването на инцидента и трябва да включва по-подробен процес на докладване. NIS2 изисква също така да се обърне внимание на сигурността на веригата за доставки. Това включва и рисковете, породени от отношенията на съвместно измерване. NIS2 също така подчертава отговорността на ръководството за организационната киберсигурност и поставя индивидуална отговорност на ръководните органи, като например корпоративните съвети и ръководството, за да се гарантира ефективното прилагане на изискванията за киберсигурност. Организациите могат да бъдат обект на различни заповеди за изпълнение, а неспазването им може да доведе до значителни глоби.
