Директивата за мрежова и информационна сигурност 2 (NIS 2 – Network and Information Security 2) надгражда своя предшественик NIS 1 с по-широк обхват и по-строги изисквания за постигане на високо общо ниво на киберсигурност в държавите членки на европейската общност. NIS 2 определя основните мерки за управление на риска за киберсигурността и задълженията за докладване във всички обхванати от директивата сектори, като енергетика, транспорт, здравеопазване и цифрова инфраструктура.
Директивата обхваща два типа организации – средни (medium) от 05 до 249 човека персонал в зависимост от сектора и големи (large) над 250 човека, които са разделени на важни (important) и основни (essential) според дейността им.
NIS2 ще се прилага от 18 октомври 2024 г.
Какво трябва да знаете, за да осигурите съответствие с NIS 2?
Директивата NIS 2 разширява обхвата си отвъд традиционните сектори, които подлежат на изискванията за докладване и въвеждане на мерки за управление на риска в областта на киберсигурността, като например: центрове за данни, мрежи за доставка на съдържание, доставчици на доверителни услуги, доставчици на обществени електронни съобщителни мрежи, органи на публичната администрация, платформи за социални мрежи, производители на основни фармацевтични продукти и медицински изделия, производство, преработка и дистрибуция на храни, производство, производство и дистрибуция на химикали и др.
Съгласно NIS 2 организациите са задължени да прилагат надеждни мерки и стандарти за управление на риска, включително конкретни елементи (списък) на сигурността. Тези елементи включват:
- анализ на риска и политики за анализ на риска и сигурност на информационните системи;
- обработка на инциденти;
- непрекъснатост на дейността, като управление на резервно копие и възстановяване след бедствие и управление на кризи;
- сигурност на веригата за доставки;
- сигурност при придобиването, разработването и поддръжката на мрежи и информационни системи, включително обработка и разкриване на уязвимости;
- политики и процедури (тестване и одит – gap analysis) за оценка на ефективността на управлението на риска за киберсигурността;
- криптография и криптиране;
- използването на решения за многофакторно удостоверяване или непрекъснато удостоверяване, и др.
Организациите трябва да установят процедури за своевременно докладване на инциденти в областта на киберсигурността на съответните органи, като изпълняването на тези елементи е от съществено значение за поддържането на сигурността и надеждността на цифровите системи.
Санкциите са в размер до 10 милиона евро или 2 процента от общия оборот на предприятието в световен мащаб за неспазване на мерките за докладване и/или управление на риска за киберсигурността за основни организации и 1,4% от глобалните годишни приходи, минимум 7 млн. евро за важните организации.
Какво може LIREX да направи за Вас?
- Проверка на Вашето съответствие с изискванията на NIS 2 (gap analysis).
- Консултиране по вече откритите несъответствия с директивата и асистиране при изграждането и внедряването на необходимите контроли за защита в съответствие с изискванията.
- Обучения целящи запознаване на персонала с NIS 2, както и с основните изисквания и правила за поддържането на добра киберхигиена в организацията.
- Внедряване на подходящи решения за киберсигурност.
Свържете се с LIREX и се възползвайте от дългогодишния ни опит в областта на консултантските услуги по информационна сигурност.
Направете запитване по имейл office@lirex.com или на тел. 02/9 691 691