NIS 2 или защо новите правила за киберсигурност на ЕС са жизненоважни за компаниите
Директивата налага по-строги изисквания към компаниите относно тяхната вътрешна стратегия за информационна сигурност
Компаниите могат да бъдат изправени пред огромни глоби или дори спиране на услугите им в Европейския съюз съгласно новите строги правила за киберсигурност, които ще влязат в сила следващия месец.
Директивата за киберсигурността на ЕС NIS 2 ще започне да се прилага от държавите членки на 17 октомври, което означава, че компаниите ще трябва да гарантират, че техните операции са в съответствие със задълженията, определени от новото законодателство. Те налагат по-строги изисквания към компаниите относно тяхната вътрешна стратегия за киберустойчивост и вътрешните им практики за информационна сигурност.
CNBC извежда всичко, което трябва бизнесът да знае за NIS 2 - от изискванията на закона до потенциалните санкции, които могат да бъдат наложени на компаниите при нарушения.
Какво представлява NIS 2?
NIS 2, което е съкращение от Network and Information Security Directive 2 (Директива за мрежова и информационна сигурност 2), е директива на ЕС, която има за цел да повиши сигурността на ИТ системите и мрежите в целия блок. Законът служи като актуализация на по-ранна директива, наречена просто NIS.
NIS 2 разширява обхвата на своя предшественик, за да се справи с по-новите предизвикателства и заплахи за киберсигурността, които се появиха, тъй като киберпрестъпниците постоянно разработват нови начини да удрят компаниите и да компрометират чувствителните им данни. Директивата се прилага за организации, които извършват дейност в ЕС и предоставят основни услуги на потребителите, включително банки, доставчици на енергия, здравни заведения, интернет доставчици, транспортни компании и преработватели на отпадъци. Основните области, разгледани в нея, са управлението на риска, корпоративната отчетност, задълженията за докладване и планирането на непрекъснатостта на дейността в случай на успешна кибератака.
Геерт ван дер Линден, изпълнителен вицепрезидент на глобалните услуги за киберсигурност в Capgemini, коментира пред CNBC, че NIS 2 на практика е поставила нова базова линия за компаниите относно това какво е приемливо за защита на гражданите, поддържане на операциите и запазване на устойчивостта в условията на кибератаки.
„NIS 2 ще се разглежда като глобален стандарт, когато стане приложима”, акцентира Ван дер Линден. „Нашите клиенти, независимо от това дали се разглеждат като съществени или важни в регламента, трябва да разгледат този основен стандарт и да се уверят, че са в съответствие с него.“
По думите му, като отговарят на това базово ниво, компаниите ефективно ще се защитят от искове. Експертът сравнява съответствието с NIS 2 със сключването на застраховка на дома за защита от крадци.
„Къде отиват крадците? Това винаги е най-слабо защитената къща. Те отварят всяка врата, за да видят къде могат да влязат“, казва той. „Същото се отнася и за компаниите, които искат да се защитят от кибератаки”.
Съгласно NIS 2 компаниите ще трябва да проверяват и своите цифрови вериги за доставки за киберзаплахи и уязвимости. Днес бизнесът използва множество различни продукти и инструменти всеки ден, което дава на престъпниците повече потенциални възможности за атака.
Крис Гоу, ръководител на екипа за публична политика на Cisco в ЕС, коментира, че в рамките на NIS 2 ще се проведе „картографиране“, при което компаниите ще трябва да сканират своите доставчици на технологии, за да оценят всички потенциални рискове.
Предприятията също така ще имат задължение да докладват и споделят информация за уязвимости и хакерски атаки с други компании - дори ако това означава, че трябва да признаят, че са станали жертва на хакери.
Какво става, ако една компания не успее да отговори на изискванията?
Компаниите, които не спазват новия закон, могат да бъдат изправени пред огромни потенциални глоби, както и пред други наказателни действия.
За субекти, считани за „ключови”, като транспортни, финансови и комунални дружества, неспазването на NIS 2 може да доведе до глоба в размер до 10 млн. евро или 2% от глобалните годишни приходи - в зависимост от това коя от двете суми е по-висока.
В същото време организациите, които се считат за „важни” - като компаниите за хранителни продукти, химическите преработватели и услугите за управление на отпадъци - са заплашени от глоби в размер до 7 млн. евро или 1,4% от глобалните им годишни приходи.
Бизнесите могат да се сблъскат и с евентуално спиране на услугата си, ако не спазят изискванията на NIS 2, както и с по-строг надзор.
Ако дадено предприятие стане жертва на пробив, то ще разполага с 24 часа, за да изпрати на властите уведомление за ранно предупреждение. Това е по-строго изискване от 72-часовия срок, в който те са задължени да уведомят регулаторите за нарушение на сигурността на данните съгласно GDPR.
„Подготовката за NIS 2 не е надпревара за това какво може да ви се размине, а по-скоро състезание, в което най-силните организации се надпреварват да преминат базовото ниво и да използват това усилие като конкурентно предимство“, посочва Карл Леонард, стратег по киберсигурност за EMEA в Proofpoint. „Предполагам, че организациите ще получат по-добра подкрепа чрез усилия, координирани на ниво Европейски съюз. Това ще включва споделено разузнаване на заплахите, по-високо общо ниво на киберсигурност и манталитет „ние сме заедно в това“.“
Готови ли са предприятията?
Предприятията се надпреварват да подготвят вътрешните си процеси и механизми за контрол, както и по-широката си култура по отношение на киберсигурността, преди крайния срок 17 октомври.
Гоу от Cisco заявява, че дори и без заплахата от нови регулации, компаниите работят усилено за промяна на вътрешната си култура, за да гарантират, че приемат сериозно заплахата от киберпробиви и инциденти.
„Освен това, което се случва от страна на регулаторите, виждаме, че докладването се прави от ниво CISO [главен директор по информационна сигурност] чак до борда и ръководството“, казва той, но добавя, че NIS 2 ще принуди предприятията да действат по-бързо, за да приведат своите киберконтроли и практики в съответствие с новите правила.
„Това определено оказва влияние“, категоричен е Гоу. „Аз самият го виждам. Хората вътре в компанията - от отдела по продажбите до ръководството - и питат: „Как ще се отрази това на нас?“.
И все пак, дори и киберсигурността да заема много по-значимо място в заседателните зали, това не спира хакерите да провеждат своите кампании, които стават все повече.
По-рано тази година атака с цел получаване на откуп срещу Synnovis, частен доставчик на здравни услуги във Великобритания, осуети повече от 3 000 посещения в болници и при общопрактикуващи лекари. Нападателят, базирана в Русия хакерска група, наречена Qilin, поиска откуп в размер на 40 млн. паунда.
Гоу акцентира, че би било грешка да се приеме, че новият регламент може напълно да предотврати подобни инциденти в бъдеще, но добавя, че NIS 2 е помогнала „да се създаде известен контрол и да се съсредоточат ресурси върху демонстрирането на това как се работи за повишаване на общите нива на сигурност“.