България се бави с правилата за киберсигурност на ЕС. Какви последствия грозят компаниите?
Две държави - България и Португалия - не са започнали процеса на транспониране на NIS 2, при който директивите се включват в националните законодателства
Новите разпоредби на Европейския съюз, изискващи от предприятията да засилят киберзащитата си, навлизат бавно, тъй като много държави не са успели да приемат правилата навреме, за да спазят ключовия краен срок за прилагане.
Директивата на ЕС за киберсигурността NIS 2 поставя високи критерии за компаниите по отношение на техните вътрешни системи и практики за киберсигурност. С нея се налагат по-строги изисквания за управление на риска, задължения за прозрачност и планиране на дейността в случай на кибератака.
В четвъртък новата директива официално започна да се прилага от държавите членки. Това означава, че компаниите вече трябва да гарантират, че техните операции са в крак с правилата. Въпреки това повечето държави - членки на ЕС, все още не са въвели NIS 2 в съответните си национални закони, което означава, че прилагането вероятно ще бъде нередовно.
Две държави - България и Португалия - не са започнали процеса на транспониране на NIS 2, при който директивите се включват в националните законодателства, съобщава CNBC.
„Състоянието на прилагане се различава значително в рамките на блока“, казва пред CNBC Тим Райт, партньор и технологичен адвокат във Fladgate
Какво представлява NIS 2?
NIS 2 - или Директивата за мрежова и информационна сигурност 2 има за цел да повиши сигурността на ИТ системите и мрежите в целия блок. Предложен за първи път през 2020 г., законът служи като актуализация на по-ранна директива, наречена просто NIS.
NIS 2 разширява обхвата на своя предшественик, за да се справи с по-новите предизвикателства и заплахи за киберсигурността, тъй като престъпниците са намерили нови начини да хакнат компаниите и да компрометират чувствителните им данни.
Директивата се прилага за организации, които извършват дейност на територията на ЕС и предоставят основни услуги на потребителите, включително банки, доставчици на енергия, здравни заведения, интернет доставчици, транспортни компании и т.н.
Съгласно новия регламент предприятията ще имат „задължението да се грижат“ за докладването и споделянето на информация за кибер уязвимости и хакерски атаки с други компании - дори ако това означава да си признаят, че са станали жертва на пробив.
Ако дадено предприятие стане жертва на кибератака, то ще разполага с 24 часа, за да изпрати на властите уведомление за ранно предупреждение - по-строг срок от 72-часовия, в който компаниите трябва да уведомят властите за пробив в данните съгласно Общия регламент за защита на данните, отделен закон за защита на личните данни в ЕС.
Предприятията също така ще трябва да проверяват един по един своите доставчици на технологии за киберзаплахи и уязвимости.
Ще бъде ли ефективна тази мярка?
Райт от Fladgate казва, че ефективността на NIS 2 като регламент до голяма степен ще зависи от последователното му прилагане и изпълнение в държавите - членки на ЕС.
„Лошите агенти могат да се насочат към държави, които изостават в транспонирането на NIS2, или да търсят слабости във веригите за доставки, насочвайки се към по-малки, по-несигурни продавачи и доставчици, за да получат достъп до по-големи, по-добре защитени организации.“
Крис Гоу, ръководител на публичната политика на ЕС в компанията за корпоративни технологии Cisco, отбелязва, че нееднозначното прилагане на NIS 2 е било „утежнено и от местното адаптиране на закона“.
Това от своя страна „създава несъответствия, които могат да се окажат трудни за преодоляване, особено за по-малките организации с ограничени ресурси“, казва той пред CNBC.
Той препоръчва организациите, вместо да бъдат „затрупани“ от несъответствията в местните адаптации на NIS 2, да „идентифицират общо ядро от механизми за контрол на сигурността и процеси, които да им осигурят добри условия както за постигане, така и за демонстриране на съответствие в голям мащаб“.
Какво става, ако компания не успее да се съобрази с изискванията?
За „съществени“ структури като транспортни, финансови и ВиК неспазването на NIS 2 може да доведе до глоби в размер до 10 млн. евро или 2% от глобалните годишни приходи - в зависимост от това, коя от двете суми е по-висока.
Същевременно „важните“ предприятия - като компаниите за хранителни продукти, химическите дружества и услугите за управление на отпадъци - ги очакват глоби в размер до 7 млн. евро или 1,4% от глобалните им годишни приходи при нарушения.
Компаниите могат да се сблъскат и с евентуално спиране на услугата, ако не спазват изискванията на NIS 2, както и с по-строг надзор.