Директивата NIS2 е обновена версия на първоначалната Директива за мрежова и информационна сигурност (NIS), приета от Европейския съюз през 2016 г. Тя цели да повиши нивото на киберсигурност и да гарантира по-добра защита на мрежите и информационните системи в целия ЕС.

За кого е задължителна NIS2?

Директивата обхваща два основни типа организации:

1. Оператори на критична инфраструктура – организации, чиято дейност е от стратегическо значение за икономиката и обществото, включително:
• Енергийни услуги (електричество, газ, нефт)
• Транспорт (въздушен, морски, железопътен, сухопътен)
• Здравеопазване (болници, клиники, фармацевтични компании)
• Водоснабдяване и канализация
• Финансови услуги (банки, инвестиционни компании)
• Цифрови инфраструктури (интернет доставчици, облачни платформи)
• Държавни и публични услуги
2. Доставчици на важни цифрови услуги, включително:
• Облачни услуги
• Платформи за онлайн търговия
• Търсачки и услуги за уеб хостинг
• Цифрови платежни системи (онлайн банкиране, разплащателни платформи)
• Доставчици на домейни и хостинг услуги

Ключови критерии за определяне на задължените фирми:

• Размер на организацията: Някои малки и средни предприятия може да не попадат в обхвата на директивата, освен ако не предоставят услуги, които са критични за обществото или икономиката.
• Важност на услугата: Организации, които предлагат услуги или технологии, които са от съществено значение за ежедневната работа на други фирми или на обществото, също са включени в директивата.

Ако фирма оперира в тези критични сектори или предлага цифрови услуги, които са важни за функционирането на тези сектори, тя трябва да се съобразява с изискванията на NIS2

Сектори, които трябва да имат съответствие:

• Енергетика (електричество, топлофикация, бензиностанции, газостанции)
• Транспорт (въздушен, железопътен, воден, сухопътен)
• Банки
• Финансови къщи и застрахователна дейност
• Цифрова инфраструктура (доставчици на точки за обмен на интернет, DNS
• доставчици, доставчици на облачни ресурси, доставчици на услуги за
• центрове за данни, доставчици на CDN, доставчици на доверителни услуги,
• доставчици на обществени електронни съобщителни мрежи,)
• ВИК, Доставчици на питейна вода
• Отпадни води
• Здравеопазване (болници, референтни лаборатории, изследователски
• центрове, фармацевтична индустрия)
• ICT service management (B2B)
• Публична администрация – общини, агенции
• Предприятия в космическата индустрия

Други критични сектори:

• Пощенски и куриерски услуги
• Сметосъбиране
• Производство, дистрибуция и доставки на химикали
• Производство, дистрибуция, доставки и обработка на храни
• Производство (медицински изделия, компютърни/електронни/оптични
• продукти, електрическо оборудване, машини и оборудване, моторни
• превозни средства/ремаркета/полуремаркета, друго транспортно
• оборудване)
• Доставчици на цифрови услуги (търсачки, онлайн пазари и платформи за
• социални мрежи)
• Изследователски организации

Какви са санкциите при неспазване на NIS2?

Организациите, които не се съобразяват с изискванията на директивата, подлежат на сериозни санкции, включително:

• Глоби до 10 милиона евро или 2% от годишния оборот (което е по-високото от двете)
• Налагане на коригиращи мерки и задължителни одити
• Лична отговорност на ръководството за неспазване на изискванията
• Ограничаване или прекратяване на дейността в случаи на тежки нарушения

Какво трябва да направите, за да осигурите съответствие с NIS2?

За да отговорите на изискванията на NIS2 и да избегнете санкции, е важно да предприемете следните действия:

1. Оценка на съответствието
• Определете дали вашата организация попада в обхвата на директивата.
• Анализирайте текущите политики за киберсигурност и установете пропуските спрямо новите изисквания.
2. Разработване и прилагане на мерки за сигурност
• Внедрете стратегии за управление на киберрисковете.
• Осигурете защита на мрежите, данните и информационните системи.
• Използвайте механизми за откриване и предотвратяване на кибератаки.
3. Докладване на инциденти
• Въведете процедури за бързо откриване и докладване на инциденти.
• Организирайте вътрешни процеси за уведомяване на компетентните органи в сроковете, определени от директивата.
4. Обучение и осведоменост
• Провеждайте регулярни обучения за служителите относно най-добрите практики в киберсигурността.
• Осигурете ангажираност на ръководството с изпълнението на изискванията.
5. Одити и контрол на съответствието
• Извършвайте редовни проверки и вътрешни одити на мерките за сигурност.
• Актуализирайте политиките спрямо новите заплахи и регулаторни промени.

Как да помогнем?

Ние можем да ви съдействаме във всеки един етап от процеса в прилагането на мерките за съответствие с NIS2 – от първоначалната оценка до внедряването на конкретни решения. 

•  Анализ на съответствието с NIS2 (gap analysis) – извършване на оценка на текущото ви състояние и идентифициране на несъответствията с изискванията на директивата.

• Консултации и внедряване на мерки за съответствие – съдействие при изграждането и прилагането на необходимите контроли за сигурност, съобразени със специфичните нужди на вашата организация.

• Обучения за персонала – провеждане на обучения за запознаване с NIS2, ключовите изисквания и най-добрите практики за поддържане на високо ниво на киберсигурност и киберхигиена.

• Интегриране на решения за киберсигурност – подпомагане при избора и внедряването на ефективни технологии и политики за защита на вашите мрежи, данни и информационни системи.

Ако имате въпроси или се нуждаете от консултация, не се колебайте да се свържете с нас!