Основната цел на NIS2 е да повиши нивото на киберустойчивост в целия Европейски Съюз като изисква от всички субекти, които предоставят критични услуги на икономиката и обществото като цяло, да предприемат подходящи мерки за киберсигурност.

Ревизираната директива на ЕС относно сигурността на мрежите и информационните системи (NIS2) ще отмени и замени съществуващата Директива NIS.

Директивата, приета през 2016 г., беше първият общоевропейски закон за киберсигурност.

Важно е да отбележим, че NIS2 също така адресира недостатъците на текущата рамка на NIS, както и реагира на промените в пейзажа на заплахите за киберсигурността.

NIS2: Какво ще се промени по отношение на управлението на риска от трети страни?

Целта на NIS2 е да бъде по-широкообхватна и по-всеобхватна. Разглеждайки конкретно управлението на риска от трета страна, NIS2 включва три основни промени, които трябва да вземете предвид:

1. Специфични изисквания за управление на риска от трета страна

NIS2 подчертава, че организациите трябва проактивно да управляват рисковете, въведени от трети страни. Това включва всички доставчици на продукти и услуги. Директивата гласи, че организациите трябва поне:

• Да оценяват и вземат под внимание цялостното качество на продуктите и практиките за киберсигурност на техните доставчици на стоки и услуги, включително техните процедури за сигурност (член 43)
• Да проявят повишено внимание при избора на услуги за сигурност от управляван доставчик на услуги (член 44)
• Да обърнат внимание на рисковете за киберсигурността, произтичащи от техните взаимодействия с други заинтересовани страни (член 45)
• Да участват в оценките на риска на доставчиците (член 46)

2. Кои организации трябва да отговарят на изискванията?

Разширеният обхват включва повече сектори, които са разделени на „основни“ и „важни“ субекти въз основа на това колко критични са за икономиката и обществото. Това включва организации в следните сектори:

• Енергия (електричество, петрол, газ, централно отопление)
• Транспорт (въздушен, железопътен, воден и автомобилен)
• Банкиране, инфраструктури на финансовия пазар,
• Здравеопазване (включително лаборатории и изследвания на фармацевтични продукти и медицински изделия)
• Питейна вода, Отпадъчни води (но само ако това е основна дейност)
• Цифрови инфраструктури (телекомуникации, DNS, TLD, центрове за данни, доверителни услуги, облачни услуги)
• Дигитални услуги (търсачки, онлайн пазари, социални мрежи)
• Пощенски и куриерски услуги
• Управление на отпадъците
• Химикали (производство и разпространение)
• Храна (Производство, преработка и разпространение)
• Производство (по-специално, но не само, медицинско, компютърно и транспортно оборудване)
• Публични администрации

3. Неспазването се наказва с глоби

Специфичните за сектора надзорни органи ще получат правомощия да налагат санкции и глоби на организации, които не спазват Директивата NIS2. Административните глоби могат да бъдат до 7 милиона евро или 1,4% от годишния световен оборот за важни индустрии и до 10 милиона евро или 2% от оборота за основни субекти.

Как CyPro може да ви помогне да се съобразите с изискванията на NIS2?

Отделът за одит и бизнес консултации на CyPro може да помогне на организациите по пътя към съответствие с Директивата NIS2. Ние можем да определим нивото на съответствие и да ви помогнем да приложите необходимите мерки.

В зависимост от състоянието на сигурността на вашата организация, посочените по-долу теми са ключови фокусни точки за подобрение:

• План и програма за бюджетиране на киберсигурността (приемане на ISO27001)
• Прилагане на програма за информираност относно сигурността (обучения на служителите)
• Оптимизиране на управлението на вашите кибератаки
• Подобряването на цялостната техническа сигурност на вашата организация (мрежа, контрол на достъпа, и др.)

Работата по тези теми ще подобри вашата киберсигурност и ще гарантира съответствие с директивата NIS2.