Директивата NIS 2 (Network and Information Security 2) е най-новият и важен законодателен акт на Европейския съюз, който цели да изгради по-силна и единна киберсигурност на територията на Общността. Тя надгражда предишната директива NIS, въвеждайки по-строги изисквания, разширявайки обхвата на засегнатите сектори и налагайки по-сериозни санкции при неспазване.
Като краен срок за транспониране в националното законодателство на България беше 17 октомври 2024 г., а прилагането на мерките започва от 18 октомври 2024 г., всяка българска фирма е изправена пред необходимостта да разбере и да се съобрази с новите правила. Въпреки че държавата ни продължава процеса по пълното транспониране, организациите трябва да са подготвени за ефективното прилагане на изискванията.
Кои български фирми са засегнати от NIS 2?
Първата и най-важна стъпка е да определите дали вашата фирма попада в обхвата на NIS 2. Директивата разделя засегнатите субекти на две основни категории:
- „Съществени“ сектори (Essential Entities): Това включва критични инфраструктури като енергетика, транспорт, здравеопазване, банково дело, финансови пазари, водоснабдяване и управление на отпадъчни води, както и доставчици на цифрови инфраструктури (DNS услуги, TLD регистри, доставчици на облачни услуги, центрове за данни).
- „Важни“ сектори (Important Entities): Тук попадат пощенски и куриерски услуги, управление на отпадъци, производство, цифрови доставчици (онлайн пазари, търсачки, социални медии), изследвания и други.
Дори ако не сте пряк оператор в тези сектори, но сте доставчик на услуги или продукти за такива оператори, може да бъдете обхванати от директивата. NIS 2 също така засяга средни и големи предприятия (с 50+ служители и/или оборот над 10 млн. евро), както и всички критични инфраструктури, независимо от размера им.
Основни изисквания и мерки, които българските фирми трябва да предприемат
След като установите, че попадате в обхвата на NIS 2, е време за конкретни действия. Директивата налага задължението за внедряване на всеобхватни мерки за управление на риска в киберсигурността, които включват:
- Задълбочен анализ на риска и политики за сигурност:
- Редовна оценка на киберрисковете, пред които е изправена вашата фирма.
- Разработване и прилагане на ясни политики за информационна сигурност, обхващащи всички аспекти на вашата дейност, включително уебсайтове и свързани системи.
- Ефективно управление на инциденти:
- Създаване на детайлни планове за реагиране при инциденти с киберсигурността (incident response plans).
- Изграждане на механизми за бързо докладване на значителни инциденти към националните органи (ЕРИКС – Екип за реагиране при инциденти с компютърната сигурност). Първоначалното уведомление е в рамките на 24 часа, последващо – до 72 часа, и окончателен доклад до един месец.
- Непрекъснатост на дейността и възстановяване от бедствия:
- Разработване на планове за непрекъснатост на бизнес процесите (Business Continuity Plans) и възстановяване след бедствия (Disaster Recovery Plans) в случай на кибератака или друг инцидент.
- Редовно създаване на резервни копия (backups) на всички критични данни.
- Сигурност на веригата на доставки (Supply Chain Security):
- Оценка на рисковете, свързани с вашите доставчици и партньори, особено тези, които предоставят критични услуги или продукти.
- Включване на изисквания за киберсигурност в договорите с трети страни.
- Сигурност при придобиване, разработване и поддръжка на мрежи и информационни системи:
- Прилагане на принципите „сигурност по дизайн“ (Security by Design) и „сигурност по подразбиране“ (Security by Default) при всяка нова разработка.
- Редовни актуализации на целия софтуер и хардуер.
- Активно управление и разкриване на уязвимости.
- Киберхигиенни практики и обучение:
- Непрекъснато обучение на персонала по киберсигурност и добри практики (като например създаване на силни пароли, разпознаване на фишинг атаки).
- Изграждане на култура на киберсигурност в цялата организация.
- Използване на криптографски методи и многофакторна автентикация (MFA):
- Внедряване на MFA за достъп до критични системи и данни.
- Прилагане на криптиране за защита на чувствителна информация (напр. HTTPS за уебсайтове, криптиране на бази данни).
- Сигурност на персонала и контрол на достъпа:
- Прилагане на строги политики за контрол на достъпа до информационните системи и данни.
- Редовен преглед на правата за достъп на служителите.
Какво означава NIS 2 за уебсайта на вашата фирма?
Въпреки че NIS 2 не съдържа отделни изисквания само за уебсайтове, те са неразделна част от мрежовите и информационни системи на всяка съвременна организация и попадат под общите изисквания за киберсигурност. Ето конкретни стъпки, свързани с уебсайтовете:
- Сигурен дизайн и разработка: Вашият уебсайт трябва да бъде изграден със сигурност в основата си (Security by Design). Това включва защита срещу често срещани уязвимости като SQL инжекции, Cross-site scripting (XSS), проблеми с автентикацията и други, детайлизирани в OWASP Top 10. Редовните одити и тестове за проникване (penetration testing) са задължителни за идентифициране и отстраняване на уязвимости.
- Управление на идентичността и достъпа: Внедрете многофакторна автентикация (MFA) за административен достъп до системите за управление на съдържанието (CMS), хостинг панели и други критични компоненти. Използвайте сложни пароли и прилагайте политики за редовна смяна.
- Защита на данните: Използвайте SSL/TLS сертификати (HTTPS) за криптиране на целия трафик между потребителя и уебсайта. Осигурете пълно съответствие с изискванията на GDPR, тъй като NIS 2 и GDPR имат много общи допирни точки.
- Актуализации и пачове: Редовно актуализирайте CMS (WordPress, Joomla, Drupal и т.н.), всички плъгини, теми, сървърен софтуер и операционни системи. Внедрете система за управление на пачове. Използвайте професионална поддръжка за вашите сайтове.
- Мониторинг и докладване на инциденти: Разполагайте със системи за мониторинг на уебсайта за необичайна активност, опити за пробив или DDoS атаки. Имайте ясни процедури за бързо докладване на инциденти, засягащи уебсайта, ако имат значително въздействие.
- Сигурност на хостинга и сървърите: Изберете надежден хостинг доставчик, който спазва високи стандарти за сигурност. Уверете се в правилната конфигурация на сървърите и използвайте защитни стени (firewalls) и системи за предотвратяване на проникване (IPS/IDS).
Отговорност на ръководството и санкции
Ръководните органи на организациите имат пряка отговорност за одобряване на мерките за управление на риска и за наблюдение на тяхното изпълнение. Те могат да бъдат държани персонално отговорни за нарушения, което може да доведе до значителни глоби.
Санкциите за неспазване на NIS 2 са сериозни:
- За съществени субекти: до 10 милиона евро или 2% от годишния глобален оборот на организацията (прилага се по-високата стойност).
- За важни субекти: до 7 милиона евро или 1.4% от годишния глобален оборот.
В обобщение, българските фирми, които попадат под обхвата на NIS 2, трябва проактивно да прегледат и засилят своите мерки за киберсигурност. Това включва задълбочен преглед на текущото състояние, идентифициране на пропуските спрямо изискванията на NIS 2 и разработване на конкретен план за действие. Работата с експерти по киберсигурност може да бъде изключително полезна в този процес.
Един от най-добрите подходи е да се направи цялостна оценка на текущото състояние на киберсигурността, да се идентифицират пропуските спрямо изискванията на NIS 2 и да се разработи план за действие за тяхното отстраняване, като се използват международни стандарти като ISO/IEC 27001 като ръководство. За повече информация как да защитите вашия онлайн бизнес и да спазите регулаторните изисквания, обърнете се към нас.
