NIS2 без наредба: защо бизнесът не трябва да чака

NIS2 идва. Наредбата се бави. А бизнесът? Той не може да чака.

В момента много организации в България се намират в своеобразна „междинна зона“. Законът за киберсигурност вече транспонира изискванията на директивата NIS2 с разширен обхват, по-ясна отговорност на ръководството и реални санкции. Липсва обаче детайлната наредба, която да преведе тези изисквания в конкретни стъпки. Това поставя компаниите пред стратегически избор: да чакат яснота или да започнат да управляват риска още сега.

Киберсигурността вече не е само ИТ тема. Един инцидент означава прекъсване на операции, загуба на приходи и репутационен риск, който трудно се възстановява. В този контекст NIS2 не е просто регулация, а катализатор за управленска дисциплина.

С други думи, анализът за текущото съответствие по NIS2 е възможен и без наредба. Именно това е едно от ключовите предимства, които бизнесът може да използва, преди натискът да стане масов. В редица европейски пазари това вече се случва значително по-рано от формалното въвеждане на подзаконовата рамка.

Aнализът на текущото състояние спрямо наредбата (gap анализ) e първата практична стъпка приложима още днес. Не защото всички детайли са налични, а защото рамката вече съществува и може да се подготвим, и да планираме. В практиката си виждаме, че комбинацията от утвърдени стандарти като ISO/IEC 27001, ISO 22301 и ISO/IEC 20000-1, заедно с изискванията на NIS2, дава достатъчно ясна основа за оценка на реалното състояние на една организация.

Подходът, който прилагаме за gap анализ в LIREX, е „на два слоя“ – добрите практики като реален стандарт за сигурност и законът като задължителна рамка. Така преместваме фокуса от формално покриване на изисквания към реална, практична устойчивост.

В практиката ни на експерти по киберсигурност виждаме и основния проблем. В повечето организации съществува базова структура на сигурност, но липсва зрялост в критичните зони. Планове за непрекъсваемост има, но често не са тествани. Политики съществуват, но при инцидент липсва яснота кой взема решенията. Управлението на уязвимости е частично, а видимостта върху системите е фрагментирана. Не е рядкост организация с внедрен стандарт да установи, че в първите 30 минути на реална атака няма ясно дефиниран процес за реакция. Именно в този кратък прозорец се определя мащабът на щетите.

В LIREX използваме gap анализа именно за да адресираме това. Не проверяваме просто дали съществува контрол, а доколко той работи в реални условия. Това е разликата между „има политика“ и „има способност за реакция“.

Причините да се направи такъв анализ още сега са прагматични. Компаниите, които започват рано, печелят време – ресурс, който при въвеждането на регулацията ще бъде най-дефицитен. Вместо реактивни инвестиции под натиск и на парче, те изграждат ясен и приоритизиран план за действие. Вместо да следват регулацията механично, получават реална видимост върху риска и много повече добавена стойност от внедрените технологии, политики и системи.

В нашата работа виждаме и още нещо – това променя ролята на съответствието. От задължение то се превръща в инструмент за управление с пряко отражение върху оперативния риск, устойчивостта на бизнеса и доверието на партньори и клиенти.

Резултатът от един добре проведен gap анализ от LIREX не е просто доклад, а карта за действие. Очертаваме зоните за подобрение, подреждаме приоритетите и даваме както бързи, така и стратегически мерки. Най-важното, създаваме последователен път напред, а не списък с проблеми.

Времето между „още няма наредба“ и „вече има санкции“ е кратко, но решаващо. В него подготвените организации изграждат предимство, а останалите наваксват под натиск. В този смисъл въпросът не е дали да се действа, а кога. А нашият отговор е ясен: преди да стане задължително.

Прочетете статията и на страниците на сп. Капитал ТУК