Network Information Security 2

Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета от 14 декември 2022 година относно мерки за високо общо ниво на киберсигурност в Съюза, за изменение на Регламент (ЕС) № 910/2014 и Директива (ЕС) 2018/1972 и за отмяна на Директива (ЕС) 2016/1148 (NIS2) има следните основни цели:

• Повишаване на нивото на киберсигурност в целия ЕС, посредством насърчаване на по-добра защита срещу киберзаплахи за критичната инфраструктура и основни услуги;
• Хармонизиране на изискванията за сигурност в различните държави членки, посредством въвеждането на унифицирани минимални изисквания за киберсигурност, което води до по-добро сътрудничество между страните;
• Засилване на управлението на риска и докладването на инциденти, посредством въвеждане на задължения за организациите да оценяват рисковете, да прилагат мерки за предотвратяване и да докладват инциденти в най-кратки срокове;
• Разширяване на обхвата на регулираните сектори, посредством включването на нови индустрии като транспорт (вкл. въздушен), здравеопазване, енергетика, авиация, телекомуникации, публични услуги и облачни доставчици;
• Насърчаване на сътрудничество между публични и частни субекти, посредством създаване на по-добра координация и обмен на информация между засегнатите страни.

• Подобрява организационната готовност за киберзаплахи, като позволява на компаниите да могат по-ефективно да идентифицират, предотвратяват и реагират на кибератаки;
• Намалява финансовите и оперативни рискове, като ограничава възможността за прекъсване на критични услуги, което би могло да доведе до значителни финансови загуби и репутационни щети;
• Осигурява спазването на регулаторните изисквания, изправяйки организациите, които не спазват изискванията ѝ, пред строги санкции, включително значителни глоби;
• Увеличава доверието в дигиталните услуги и инфраструктура, като повишава сигурността, водейки до по-голямо доверие от страна на клиентите, партньорите и регулаторите.

Директивата изисква от компаниите и организациите, за които се отнася:

• Управление на риска за киберсигурност, посредством:

  • Внедряване на ефективни политики за управление на киберрискове, обхващащи всички критични бизнес процеси;
  • Извършване на редовни оценки на риска и анализи на въздействието върху операциите (Business Impact Analysis - BIA);
  • Прилагане на технически и организационни мерки, като криптиране, управление на достъпа, сегментиране на мрежите и пр.;

• Докладване на инциденти, посредством:

  • Задължение за компаниите да докладват значими инциденти на националния компетентен орган в рамките на 24 часа за първоначално уведомление и да предоставят по-подробна информация в рамките на 72 часа;
  • Поддържане на регистър на инцидентите, вкл. с цел анализ и предотвратяване на бъдещи атаки;

• Управление на веригата за доставки, посредством:

  • Гарантиране от страна на компаниите, че техните доставчици и партньори също спазват изискванията за ИКТ сигурност;
  • Внедряване на процеси за проверка на сигурността на трети страни, включително договорни клаузи за сигурност и непрекъсваемост на услугите;
  • Оценка на въздействието на потенциални нарушения във веригата на доставки върху ключовите услуги на компанията.

• Управление на оперативната непрекъсваемост (BCP/DRP), посредством:

  • Разработване и поддържане на планове за непрекъснатост на дейността (BCP) и възстановяване след аварии (DRP);
  • ровеждане на редовни тестове и симулации за готовност при кибератаки или технически откази
  • Включване на комуникационни стратегии за информиране на заинтересованите страни в случай на инцидент.

• Обучение и повишаване на осведомеността, посредством:

  • Задължение на компаниите да провеждат обучения на персонала (ръководен и оперативен), обхващащи политики за информационна сигурност и сценарии за кибератаки;
  • Насърчаване на култура на сигурност, за да се намалят рисковете, свързани с човешки грешки и социално инженерство;
  • Създаване на вътрешни процедури за докладване на подозрителна дейност от служителите.

• Сътрудничество с компетентните органи, посредством:

  • сътрудничество с националните регулатори и органите за киберсигурност, като предоставят информация и спазват препоръките за сигурност;
  • Обмен на информация и добри практики за предотвратяване и реагиране на заплахи;
  • Редовни одити и проверки от регулаторните органи за установяване на степента на съответствие с директивата.

Директивата определя две категории от субекти, за които прилагането ѝ е задължително – сектори с висока степен на критичност (Приложение I към Директивата) и други критични сектори (още реферирани като „Важни“), съгласно Приложение II към Директивата.

• Приложение I - Критични сектори
• Приложение II - Други критични

Изискванията на Директивата се транспонират в законодателството на Република България със закона за Киберсигурност. Последната версия за закона за изменение и допълнение на Закона за киберсигурност са депозирани в Народното събрание на 12 декември 2024 (под № 51-402-01-17), като гласуването му предстои в най-кратки срокове, съгласно програмата на Парламента.

Постигането на съответствие с изискванията на NIS2 се постига на два етапа, както е показано по-долу

Етап I. Постигане на нормативно съответствие:

• Оценка на риска;
• Разработване и приемане на необходимите рамки, политики, процедури и пр.;
• Интегриране на ИКТ решенията в съответствие с предходния булет;
• Идентифициране на третите страни – доставчици на критични услуги и въвеждането им в съответния регистър;
• Подготовка за реакция при инциденти;

Етап 2. Поддържане на съответствието на ежедневно, оперативно ниво

• Непрекъсната оценка на риска, вкл.

  • докладване на висшето ръководство и предложения за промени в актуалната документална и физическа ИКТ база;

• Преглед и актуализация на въведените рамки, политики, процедури и пр., вкл.

  • извършване на одобрените промени в актуалната документална и физическа ИКТ база);

• Преглед на съответствието на третите страни – доставчици на критични услуги, вкл.

  • рапортуване при установяване на несъответствие;
  • прекратяване на отношенията с третите страни (изходни стратегии);

• Реакция на критични инциденти, свързани с ИКТ, вкл.

  • рапортуване, възстановяване, подновяване на обичайните операции;

• Непрекъснато обучение и поддържане на квалификацията, вкл.

  • на ръководството и
  • на оперативния персонал.

Субектите от Приложение I, които не спазват изискванията на Директивата подлежат на административни глоби в максимален размер от най-малко 10 000 000 (десет милиона) EUR или най-малко 2% (два процента) — която от сумите е по-голяма — от общия световен годишен оборот за предходната финансова година на предприятието, към което принадлежи същественият субект

Сентинел Сълюшънс ООД e създадена като продукт на дългогодишното сътрудничество между една от водещите компании в одитните и консултантски услуги в областта на информационните и комуникационни технологии – Семпер Фортис ООД и един от лидерите в областта на разработката на индивидуалните ИКТ решения – ВиЕмЛабс ООД.

Обединявайки знанията и над десетгодишния опит на двете компании, ние се стремим към синергичен ефект, който да извиси предлаганите професионални услуги на ново ниво, като предложи на клиентите си строго индивидуални, цялостни решения, покриващи целия жизнен цикъл на съответния проект

Нашият екип включва професионалисти с богат набор от релевантни образования (компютърни инженери, юристи, икономисти, финансисти и пр.) и квалификации (CISA, CISM, CRISC, CISSP, PMP, CFE, CIA, CGAP, CCSA, CRMA).

Нашето портфолио от услуги включва пълния цикъл от дейности, необходими за постигане и поддържане на съответствие с изискванията на Директивата и по-специално:

• Оценка на текущото състояние и от какво се нуждаете, за да отговорите на изискванията на Директивата;
• Разработване (или подпомагайки Ви в разработката) на всички нужни рамки, стратегии, политики, процедури и други ключови стратегически и оперативни документи;
• Подпомагане на имплементирането на необходимите технически решения в изпълнение на изискванията на Директивата;
• Осигуряване на обучение и развитие на персонала (управленски и оперативен) по отношение на практическото приложение на изискванията на Директивата;
• Извършване на регулярните одити и периодични дейности (напр. тестове за проникване) по поддържането на съответствие с изискванията на Директивата;
• Подпомагане на реакцията при инциденти;
• Комуникация с контролните органи – национални и европейски;
• Аутсорсинг на различни функции, необходими за изпълнение на изискванията на Директивата (мениджър по управление на ИКТ риска, мениджър по ИКТ сигурността – CISO и пр.).