Новата директива МИС2 изисква от счетоводните фирми да предприемат повече мерки за предотвратяване на нарушения на киберсигурността. Европейският закон за киберпространството е в сила от 16 януари 2023 г. и всички държави членки имат срок до октомври 2024 г. да приложат законодателството на национално ниво.

Директивата МИС2 се прилага за всяко средно и голямо предприятие, особено за тези с повече от 50 служители или годишен оборот над 10 милиона евро от изброените сектори. Това означава, че всяка компания от тези сектори, която отговаря на критериите, трябва да спазва набор от технически, оперативни и организационни мерки. Докато секторите, конкретно изброени в Директивата, не споменават изрично счетоводители или счетоводни фирми, като се има предвид широкият обхват на директивата, е вероятно някои счетоводни фирми, особено тези със значителен размер или участващи в определени сектори, да попаднат в нейния обхват.

Насоки за счетоводни фирми: какви минимални мерки за киберсигурност трябва да предприемете?

Въз основа на новата директива МИС2, счетоводните фирми трябва да предприемат адекватни мерки от 2024 г. нататък, за да предотвратят нарушения на киберсигурността или да ограничат последствията от тях.

Директивата МИС2 налага десет основни мерки за сигурност за справяне със специфични форми на вероятни киберзаплахи. Тези мерки включват оценки на риска и политики за сигурност за информационните системи, политики и процедури за оценка на ефективността на мерките за сигурност, използването на криптография и криптиране, план за справяне с инциденти, свързани със сигурността, сигурност около закупуването и функционирането на системата, обучение по киберсигурност, процедури за сигурност за служители с достъп до чувствителни данни, план за управление на бизнес операции по време и след инцидент със сигурността, използване на мултифакторно удостоверяване и криптирани комуникации и мерки за сигурност за веригите за доставки.

Идентифициране на риска

Можете да вземете подходящи мерки само ако знаете пред какви рискове е изправена вашата счетоводна фирма. Уверете се, че сте набелязали рисковете или ангажирайте външни специалисти за това. В рамките на рисковете разграничете тези за директно предоставяне на услуги и непрекъснатост на бизнеса. Класифицирайте рисковете, за да създадете списък с приоритети и вземете подходящи мерки.

• Оценка на рисковете за сигурността на информационните системи и мрежите;
• Идентифициране на уязвимостите в информационните системи и мрежите;
• Разработване на план за управление на рисковете за сигурността на информационните системи и мрежите.

Политики за информационна сигурност

За да се съобразят с изискванията на Директивата МИС2, организациите трябва да разработят и внедрят различни политики и процедури за информационна сигурност. Списъкът с тези политики е дълъг, но най-важните три са:

• Политика за управление на риска
• Политика за докладване на инциденти
• Политика за контрол на достъпа

Управление на риска

Организациите трябва да приемат мерки за минимизиране на кибер рисковете. Те включват управление на инциденти, подобрена мрежова сигурност, по-добър контрол на достъпа и криптиране. Политиките за контрол на достъпа и процедурите за реагиране при инциденти са критични компоненти на това изискване.

Корпоративна отчетност

МИС2 възлага отговорност на корпоративното ръководство да наблюдава, одобрява и да бъде обучавано в мерките за киберсигурност на предприятието. Това включва разработването на политики и процедури, насочени към кибер рисковете, с разбирането, че нарушенията могат да доведат до санкции за ръководството.

Непрекъснатост на бизнеса

Организациите трябва да планират да осигурят непрекъснатост на бизнеса в случай на големи кибер инциденти. Това включва разработване на планове, които обхващат възстановяване на системата, спешни процедури и създаване на екип за реакция при кризи.

Ще бъдете ли глобени, ако не спазвате изискванията?

Счетоводните фирми, които не спазват новата директива, ще получат предупреждение и след това напомняне. След това местните власти могат да налагат глоби до максимум 10 милиона евро или два процента от годишния оборот.

Освен това организациите не се информират автоматично от властите, ако попадат в обхвата на Директивата МИС2. Те трябва да се самооценяват въз основа на критерии, които включват елементи на индустрията и съображения за размера. Разпоредбите на директивата се прилагат както за основни, така и за важни субекти и неспазването им може да доведе до отговорност за ръководните органи.

NIS 2 – CyPro Bulgaria Ltd.

Директива относно мерки за високо общо ниво на киберсигурност в Съюза (Директива за МИС2) | Shaping Europe’s digital future (europa.eu)