Всичко, което трябва да знаете, за новата Директива NIS2

by | January 20, 2023 | Data protection, IT security

NIS2

Основната цел на NIS2 е да повиши нивото на киберустойчивост в целия Европейски Съюз като изисква от всички субекти, които предоставят критични услуги на икономиката и обществото като цяло, да предприемат подходящи мерки за киберсигурност.

Ревизираната директива на ЕС относно сигурността на мрежите и информационните системи (NIS2) ще отмени и замени съществуващата Директива NIS.

Директивата, приета през 2016 г., беше първият общоевропейски закон за киберсигурност.

Важно е да отбележим, че NIS2 също така адресира недостатъците на текущата рамка на NIS, както и реагира на промените в пейзажа на заплахите за киберсигурността.

NIS2: Какво ще се промени по отношение на управлението на риска от трети страни?

Целта на NIS2 е да бъде по-широкообхватна и по-всеобхватна. Разглеждайки конкретно управлението на риска от трета страна, NIS2 включва три основни промени, които трябва да вземете предвид:

1. Специфични изисквания за управление на риска от трета страна

NIS2 подчертава, че организациите трябва проактивно да управляват рисковете, въведени от трети страни. Това включва всички доставчици на продукти и услуги. Директивата гласи, че организациите трябва поне:

  • Да оценяват и вземат под внимание цялостното качество на продуктите и практиките за киберсигурност на техните доставчици на стоки и услуги, включително техните процедури за сигурност (член 43)
  • Да проявят повишено внимание при избора на услуги за сигурност от управляван доставчик на услуги (член 44)
  • Да обърнат внимание на рисковете за киберсигурността, произтичащи от техните взаимодействия с други заинтересовани страни (член 45)
  • Да участват в оценките на риска на доставчиците (член 46)
2. Кои организации трябва да отговарят на изискванията?

Разширеният обхват включва повече сектори, които са разделени на „основни“ и „важни“ субекти въз основа на това колко критични са за икономиката и обществото. Това включва организации в следните сектори:

  • Енергия (електричество, петрол, газ, централно отопление)
  • Транспорт (въздушен, железопътен, воден и автомобилен)
  • Банкиране, инфраструктури на финансовия пазар,
  • Здравеопазване (включително лаборатории и изследвания на фармацевтични продукти и медицински изделия)
  • Питейна вода, Отпадъчни води (но само ако това е основна дейност)
  • Цифрови инфраструктури (телекомуникации, DNS, TLD, центрове за данни, доверителни услуги, облачни услуги)
  • Дигитални услуги (търсачки, онлайн пазари, социални мрежи)
  • Пощенски и куриерски услуги
  • Управление на отпадъците
  • Химикали (производство и разпространение)
  • Храна (Производство, преработка и разпространение)
  • Производство (по-специално, но не само, медицинско, компютърно и транспортно оборудване)
  • Публични администрации
3. Неспазването се наказва с глоби

Специфичните за сектора надзорни органи ще получат правомощия да налагат санкции и глоби на организации, които не спазват Директивата NIS2. Административните глоби могат да бъдат до 7 милиона евро или 1,4% от годишния световен оборот за важни индустрии и до 10 милиона евро или 2% от оборота за основни субекти.

Как CyPro може да ви помогне да се съобразите с изискванията на NIS2?

Отделът за одит и бизнес консултации на CyPro може да помогне на организациите по пътя към съответствие с Директивата NIS2. Ние можем да определим нивото на съответствие и да ви помогнем да приложите необходимите мерки.

В зависимост от състоянието на сигурността на вашата организация, посочените по-долу теми са ключови фокусни точки за подобрение:

  • План и програма за бюджетиране на киберсигурността (приемане на ISO27001)
  • Прилагане на програма за информираност относно сигурността (обучения на служителите)
  • Оптимизиране на управлението на вашите кибератаки
  • Подобряването на цялостната техническа сигурност на вашата организация (мрежа, контрол на достъпа, и др.)

Работата по тези теми ще подобри вашата киберсигурност и ще гарантира съответствие с директивата NIS2.

Изпратете запитване