В края на октомври в целия Европейски съюз започна да се прилага нова Директива за информационна и мрежова сигурност, позната като NIS - 2 (Network Information Security 2). Тя надгражда вече съществуващата NIS - 1, като значително увеличава строгостта на мерките и процедурите, които се изисква компаниите да прилагат, за да гарантират сигурността на процесите и системите си.
Друг нов елемент в нея е разширяването на обхвата на компаниите и секторите, които трябва да отговарят на тези изисквания, като в тях вече се включват и по-малки компании с различна сфера на дейност. Финансовите рискове, свързани с киберсигурността на всяка компания, включително и във връзка с потенциални санкции по NIS - 2, нарастват значително с дигитализацията на процесите във всички сфери, а ефективното им управление е обект на стратегическото планиране на организацията и ефикасна комбинация от различни инструменти и процеси.
Какви мерки вменява NIS-2 на бизнеса
NIS-2 директивата представлява нов етап в регулирането на киберсигурността, който изисква бизнесът да осъзнае своята отговорност за защита на цифровите активи и услугите, от които зависят икономиката и обществото. Директивата въвежда мерки, които не само адресират управлението на киберрисковете, но и трансформират начина, по който организациите възприемат и управляват тези рискове.
На първо място, компаниите вече са задължени да изграждат структурирани политики за управление на киберсигурността. Това включва детайлно идентифициране на заплахите и уязвимостите, внедряване на съвременни технологии за мониторинг и предотвратяване на инциденти, както и готовност за реакция в случай на кибератака. Например, една от ключовите нови области е управлението на рисковете във веригата на доставки. В един свързан свят, в който уязвимостите често се крият в доставчици или партньори, организациите трябва да въведат процеси за оценка и проследяване на риска дори извън собствените си граници.
Едновременно с това, директивата поставя силен акцент върху прозрачността. Компаниите трябва да докладват значими инциденти в рамките на строго регламентирани срокове – 24 часа за първоначално предупреждение и 72 часа за детайлен доклад. Това изискване не само увеличава отчетността, но и позволява на компетентните органи да реагират бързо и координирано, за да предотвратят разпространението на заплахи.
Друг съществен аспект е категоризацията на компаниите според тяхната значимост за обществото и икономиката. Основните субекти – като енергийни компании, банки и доставчици на цифрова инфраструктура – са подложени на по-строги изисквания, защото тяхната уязвимост може да има каскадни ефекти върху цели сектори. Това подчертава колко важна е съгласуваността между секторите, за да се намалят не само индивидуалните рискове, но и тези за обществото като цяло.
Нека не забравяме и човешкия фактор. Едно от най-големите предизвикателства пред бизнеса е липсата на осведоменост и подготовка на служителите. NIS-2 ясно изисква инвестиции в обучения, създаване на култура за спазване на добра киберхигиена и разработване на планове за действие в случай на кризисни ситуации. Тези усилия не трябва да се възприемат като разход, а като стратегическа инвестиция в устойчивостта на организацията и начин за намаляване на рисковете, които биха довели до значителни финансови загуби.
Важно е да се отбележи, че директивата също така дава сериозни правомощия на регулаторите за проверки и налагане на санкции, включително временно прекратяване на дейности при сериозни нарушения. Това прави внедряването на адекватни мерки за киберсигурност не просто задължение, а условие за дългосрочно доверие от страна на клиенти, партньори и застрахователи.
Разлики между ISO270001 и NIS-2. Повишените изисквания на NIS-2
Разликите между ISO 27001 и NIS-2 са не само интересни, но и ключови за разбирането на подхода към киберсигурността. Първият стандарт предлага гъвкав подход, който позволява на организациите сами да определят своя обхват и да се фокусират върху управление на риска според собствените си нужди.
NIS-2 обаче изисква много повече от това. Тази директива е задължителна за определени сектори и включва конкретни изисквания, като задължително докладване на инциденти в стриктни срокове и управление на рисковете във веригата на доставки. За разлика от ISO 27001, който е доброволен стандарт, NIS-2 налага персонална отговорност на ръководството и предвижда значителни санкции при неспазване.
Разликите между двете рамки отразяват различните им цели. ISO 27001 е чудесен инструмент за демонстриране на добри практики и управление на риска, докато NIS-2 е регулаторен механизъм, който задава минимални стандарти за сигурност в сектори с критична значимост. Двете рамки могат да се използват заедно – ISO 27001 като основа, а NIS-2 като допълнително ниво на регулация, особено когато става въпрос за организации, които искат да минимизират риска си чрез киберзастраховане.
NIS-2 и управляващите органи - персонална отговорност
Директивата NIS-2 въвежда значителна промяна в подхода към киберсигурността на ниво корпоративно управление. За първи път виждаме толкова ясно изразен фокус върху личната отговорност на ръководството. Киберсигурността вече не е просто техническа задача, която може да бъде изцяло делегирана на IT отдела – тя е основен компонент от стратегическото управление на всяка организация.
Управителните органи носят ясна лична отговорност за внедряването и надзора на мерките за киберсигурност. Това включва активно участие в одобряването на политики, мониторинг на тяхното прилагане и редовно обучение, за да могат компетентно да оценяват рисковете и да взимат информирани решения.
Санкциите при неспазване на тези задължения са също ключов елемент на директивата. Те включват административни глоби, временно отстраняване от управленски функции и дори ограничения за заемане на ръководни позиции при системни нарушения.
Това показва, че киберсигурността е поставена наравно с други критично важни аспекти на управлението, като финансовите резултати и спазването на нормативните изисквания.
Тази промяна е напълно логична, като се вземат предвид нарастващите киберзаплахи и потенциалните им последствия. Пропуските в киберсигурността могат да доведат до сериозни финансови загуби, например чрез прекъсване на операциите след рансъмуер атака, или дългосрочни щети върху репутацията след изтичане на данни. В този контекст е естествено ръководството да бъде държано отговорно за сигурността на организацията.
Например, в случай на значим инцидент мениджърите трябва да са сигурни, че процесът за уведомяване е задействан своевременно. Пропускът в докладването може да доведе до персонални санкции. Или ако компанията не е внедрила адекватни мерки за управление на риска и е обект на кибератака, ръководителите могат да бъдат подведени под отговорност за липсата на действия. Също така, при липса на обучение на служителите относно добри практики за киберсигурност и киберхигиена, отговорността отново се пада на висшето ръководство.
С други думи, NIS-2 променя из основи начина, по който организациите трябва да мислят за киберсигурността. Тя вече не е просто техническо предизвикателство, а централен бизнес риск, който изисква пълното внимание и ангажираност на висшето ръководство.
Ако компанията ми има ISO 27001, това значи ли, че отговарям на NIS-2?
Това е един от най-често задаваните въпроси, особено от компании, които вече имат изградени системи за управление на информационната сигурност.
Ако компанията вече е сертифицирана по ISO 27001, тя има ясна структура за управление на риска, мерки за контрол и механизми за мониторинг и непрекъснато подобрение, но това не означава автоматично съответствие с NIS-2. Директивата изисква нещо повече от стандартната рамка на ISO 27001.
Ключовите разлики, които трябва да бъдат взети предвид, са задължителните регулаторни изисквания. NIS-2 е правно обвързваща директива, докато ISO 27001 е доброволен стандарт. Директивата включва специфични задължения като докладване на инциденти в строго регламентирани срокове (24/72 часа), които не са изисквани от ISO 27001.
Освен това, ISO 27001 позволява на компанията сама да дефинира обхвата на своята ISMS, докато NIS-2 обхваща всички критични процеси и услуги, включително такива, които имат значимо въздействие върху обществото или икономиката. Това включва също управление на риска във веригата на доставки.
В заключение, ISO 27001 е отлична основа, но сама по себе си тя не е достатъчна за съответствие с NIS-2. Ако вашата компания има ISO 27001, това ще улесни процеса на съответствие с NIS-2, но ще бъде необходимо да преразгледате и адаптирате своята стратегия за информационна сигурност, за да отговорите на всички изисквания на директивата.
NIS-2 документално съответствие и технологични мерки
Разработването на политики и процедури е основата, но това е само първата стъпка. Истинската стойност на NIS-2 е в нейното практическо приложение – създаване на активна киберустойчивост и готовност за справяне с реални заплахи.
Документалното съответствие е необходимо, за да се установи структура и координация. Например, всяка организация трябва да има ясно документирани политики за управление на киберрисковете, процедури за докладване на инциденти и механизми за оценка на риска във веригата на доставки. Но тези документи сами по себе си не могат да предотвратят инциденти. Те задават насоките, но не осигуряват защитата.
Затова NIS-2 изисква и технологични мерки, които да осигурят реална защита. Тук говорим за внедряване на системи за мониторинг и откриване на заплахи, криптиране на данни, управление на уязвимости и редовно тестване на плановете за възстановяване на критични системи. Например, ако компанията разполага със SIEM платформа за анализ на мрежовия трафик, тя може да идентифицира подозрителна активност и да реагира навреме. Или ако използва механизми за управление на уязвимости, може да коригира слабости, преди те да бъдат експлоатирани.
Управление на финансовия риск, свързан с киберсигурността
Когато говорим за киберрискове и заплахи, освен технологични и административни мерки, е необходимо да се прилагат мерки и за овладяване на финансовите рискове свързани с киберсигурността. Финансовите последствия за една организация в следствие на киберинцидент или атака са многобройни. От потенциални преки загуби поради прекъсване на дейността, през разходи за възстановяване на процесите, за уведомяване, за киберразследване, за кризисни комуникации и управление на репутацията, до административни и съдебни санкции, финансовите щети в следствие на киберинцидент могат да доведат до съществена нестабилност на една компания, а в някои случаи и до невъзможност за възстановяване.
В този контекст киберзастраховането е един от основните инструменти за изнасяне на финансовите рискове, свързани с киберсигурността. Организации, които успешно внедряват изискванията на NIS-2, демонстрират управленска зрялост и проактивен подход към управлението на риска, като сключват киберзастрахователни полици. В България, такива застрахователни продукти за бизнеса се предлагат от ЗК “ЛЕВ ИНС” АД. Компанията въведе киберзастраховането на пазара у нас преди повече от 5 години. В момента, бизнесът може да се застрахова в случай на киберинцидент с покрития на стойност до 2 000 000 евро, а в някои случаи и по-големи. Киберзастрахователната полица на “ЛЕВ ИНС” е комплексен продукт, който комбинира технологични мерки и застрахователна защита. Тя покрива множество различни киберрискове, като всяка компания може да прецени кои от тях да избере и включи в своята застраховка. Ето и основните:
Финансова защита - застраховката за киберсигурност помага на бизнеса да покрие разходите, свързани с киберинциденти, които могат да бъдат значителни. Това включва:
- Правни такси: Покриване на разходите за правна помощ, ако бизнесът е изправен пред съдебни дела поради нарушение на сигурността на данните или кибератака.
- Разходи за уведомяване: Покриване на разходите, свързани с уведомяването на клиентите и заинтересованите страни за нарушение на сигурността на данните, включително за кол-център.
Покритие за прекъсване на дейността. Кибератаките могат да причинят значителни смущения в бизнес операциите. Кибер застрахователната полица помага с:
- Компенсиране на загубени приходи: Покрива загубата на приходи през периода, в който бизнесът не може да функционира нормално поради киберинцидент.
- Допълнителни разходи: Заплащане на допълнителните разходи, направени за продължаване на дейността по време на фазата на възстановяване, като например наемане на временно офис пространство или наемане на външни консултанти и др.
- Разходи, свързани с наемане на екип за киберразследване: Наемането на екип от киберспециалисти, които да изяснят причините за инцидента, да предложат план за възстановяване и да поемат евентуални преговори с киберпрестъпниците, в случай на киберизнудване.
Реакция при инциденти и възстановяване - застрахователните покрития за реакция при инциденти и възстановяване могат да включват достъп до специализирани услуги, които да помогнат за управлението и смекчаването на последиците от киберинцидент:
- Съдебно разследване: Финансиране на експерти по съдебна медицина за установяване на източника и обхвата на нарушението, което помага за намаляване на щетите и предотвратяване на бъдещи инциденти.
- Възстановяване на данни: Покриване на разходите за възстановяване на загубени или повредени данни.
- Връзки с обществеността: Покриване на разходи за PR услуги за управление на комуникацията с обществеността и запазване на репутацията на компанията. Тяхната цел е изготвянето на стратегия за публична реакция, с послания за успокояване на клиентите, партньорите и заинтересованите страни, като по този начин се подсигури или възстанови доверието в бизнеса.
Управление на кризи - след киберинцидент ефективното управление на кризи е от решаващо значение за непрекъснатостта на бизнеса. Киберзастрахователната полица помага чрез:
Предлагане на екипи за незабавно реагиране: Осигуряване на достъп до експерти, които могат незабавно да реагират на инцидента и да го управляват.
Киберсигурността е комплексен процес изискващ холистичен подход с включени технологични и административни мерки, политики и финансови инструменти за управление на риска. NIS - 2 и сходните регулации и стандарти в различните сектори оформят рамка на действията, които трябва да бъдат предприети от всяка организация, но стратегическият подход, планирането и управлението на всички рискове свързани с киберсигурността е прерогатив на управленските екипи на компаниите и изборът на ефективни инструменти и в техни ръце.