Компаниите могат да бъдат изправени пред огромни глоби или дори спиране на услугите им в Европейския съюз съгласно новите строги правила за киберсигурност, които ще влязат в сила следващия месец.

Директивата за киберсигурността на ЕС NIS 2 ще започне да се прилага от държавите членки на 17 октомври, което означава, че компаниите ще трябва да гарантират, че техните операции са в съответствие със задълженията, определени от новото законодателство. Те налагат по-строги изисквания към компаниите относно тяхната вътрешна стратегия за киберустойчивост и вътрешните им практики за информационна сигурност.

CNBC извежда всичко, което трябва бизнесът да знае за NIS 2 - от изискванията на закона до потенциалните санкции, които могат да бъдат наложени на компаниите при нарушения.

Какво представлява NIS 2?

NIS 2, което е съкращение от Network and Information Security Directive 2 (Директива за мрежова и информационна сигурност 2), е директива на ЕС, която има за цел да повиши сигурността на ИТ системите и мрежите в целия блок. Законът служи като актуализация на по-ранна директива, наречена просто NIS.

NIS 2 разширява обхвата на своя предшественик, за да се справи с по-новите предизвикателства и заплахи за киберсигурността, които се появиха, тъй като киберпрестъпниците постоянно разработват нови начини да удрят компаниите и да компрометират чувствителните им данни. Директивата се прилага за организации, които извършват дейност в ЕС и предоставят основни услуги на потребителите, включително банки, доставчици на енергия, здравни заведения, интернет доставчици, транспортни компании и преработватели на отпадъци. Основните области, разгледани в нея, са управлението на риска, корпоративната отчетност, задълженията за докладване и планирането на непрекъснатостта на дейността в случай на успешна кибератака.

Геерт ван дер Линден, изпълнителен вицепрезидент на глобалните услуги за киберсигурност в Capgemini, коментира пред CNBC, че NIS 2 на практика е поставила нова базова линия за компаниите относно това какво е приемливо за защита на гражданите, поддържане на операциите и запазване на устойчивостта в условията на кибератаки.

Техните доставчици на технологии също са под наблюдение

Банките в ЕС се сблъскват с нови строги стандарти за киберсигурност

„NIS 2 ще се разглежда като глобален стандарт, когато стане приложима”, акцентира Ван дер Линден. „Нашите клиенти, независимо от това дали се разглеждат като съществени или важни в регламента, трябва да разгледат този основен стандарт и да се уверят, че са в съответствие с него.“

По думите му, като отговарят на това базово ниво, компаниите ефективно ще се защитят от искове. Експертът сравнява съответствието с NIS 2 със сключването на застраховка на дома за защита от крадци.

„Къде отиват крадците? Това винаги е най-слабо защитената къща. Те отварят всяка врата, за да видят къде могат да влязат“, казва той. „Същото се отнася и за компаниите, които искат да се защитят от кибератаки”.

Съгласно NIS 2 компаниите ще трябва да проверяват и своите цифрови вериги за доставки за киберзаплахи и уязвимости. Днес бизнесът използва множество различни продукти и инструменти всеки ден, което дава на престъпниците повече потенциални възможности за атака.

Крис Гоу, ръководител на екипа за публична политика на Cisco в ЕС, коментира, че в рамките на NIS 2 ще се проведе „картографиране“, при което компаниите ще трябва да сканират своите доставчици на технологии, за да оценят всички потенциални рискове.

Предприятията също така ще имат задължение да докладват и споделят информация за уязвимости и хакерски атаки с други компании - дори ако това означава, че трябва да признаят, че са станали жертва на хакери.

Инициативата на КиберКЛУБ цели да отговори на едно сериозно предизвикателство - онлайн защитата на децата

#КиберЗНАМ – никога не е рано за киберсигурност

Какво става, ако една компания не успее да отговори на изискванията?

Компаниите, които не спазват новия закон, могат да бъдат изправени пред огромни потенциални глоби, както и пред други наказателни действия.

За субекти, считани за „ключови”, като транспортни, финансови и комунални дружества, неспазването на NIS 2 може да доведе до глоба в размер до 10 млн. евро или 2% от глобалните годишни приходи - в зависимост от това коя от двете суми е по-висока.

В същото време организациите, които се считат за „важни” - като компаниите за хранителни продукти, химическите преработватели и услугите за управление на отпадъци - са заплашени от глоби в размер до 7 млн. евро или 1,4% от глобалните им годишни приходи.

Бизнесите могат да се сблъскат и с евентуално спиране на услугата си, ако не спазят изискванията на NIS 2, както и с по-строг надзор.

Ако дадено предприятие стане жертва на пробив, то ще разполага с 24 часа, за да изпрати на властите уведомление за ранно предупреждение. Това е по-строго изискване от 72-часовия срок, в който те са задължени да уведомят регулаторите за нарушение на сигурността на данните съгласно GDPR.

„Подготовката за NIS 2 не е надпревара за това какво може да ви се размине, а по-скоро състезание, в което най-силните организации се надпреварват да преминат базовото ниво и да използват това усилие като конкурентно предимство“, посочва Карл Леонард, стратег по киберсигурност за EMEA в Proofpoint. „Предполагам, че организациите ще получат по-добра подкрепа чрез усилия, координирани на ниво Европейски съюз. Това ще включва споделено разузнаване на заплахите, по-високо общо ниво на киберсигурност и манталитет „ние сме заедно в това“.“

Profit.bg

Киберсигурност – от специализирана дисциплина до въпрос на оцеляване

Готови ли са предприятията?

Предприятията се надпреварват да подготвят вътрешните си процеси и механизми за контрол, както и по-широката си култура по отношение на киберсигурността, преди крайния срок 17 октомври.

Гоу от Cisco заявява, че дори и без заплахата от нови регулации, компаниите работят усилено за промяна на вътрешната си култура, за да гарантират, че приемат сериозно заплахата от киберпробиви и инциденти.

„Освен това, което се случва от страна на регулаторите, виждаме, че докладването се прави от ниво CISO [главен директор по информационна сигурност] чак до борда и ръководството“, казва той, но добавя, че NIS 2 ще принуди предприятията да действат по-бързо, за да приведат своите киберконтроли и практики в съответствие с новите правила.

„Това определено оказва влияние“, категоричен е Гоу. „Аз самият го виждам. Хората вътре в компанията - от отдела по продажбите до ръководството - и питат: „Как ще се отрази това на нас?“.

И все пак, дори и киберсигурността да заема много по-значимо място в заседателните зали, това не спира хакерите да провеждат своите кампании, които стават все повече.

По-рано тази година атака с цел получаване на откуп срещу Synnovis, частен доставчик на здравни услуги във Великобритания, осуети повече от 3 000 посещения в болници и при общопрактикуващи лекари. Нападателят, базирана в Русия хакерска група, наречена Qilin, поиска откуп в размер на 40 млн. паунда.

Гоу акцентира, че би било грешка да се приеме, че новият регламент може напълно да предотврати подобни инциденти в бъдеще, но добавя, че NIS 2 е помогнала „да се създаде известен контрол и да се съсредоточат ресурси върху демонстрирането на това как се работи за повишаване на общите нива на сигурност“.