Eвропейската директива за информационната сигурност МИС 2 влиза в сила през октомври 2024

Европейската директива за мрежова и информационна сигурност NIS 2 (МИС 2) бе приета през декември 2022 година и се очаква да влезе в сила през октомври 2024. Всяка държава членка на ЕС трябва да транспонира изискванията на Директивата до октомври 2024 в националното си законодателство. Нормата е продължение на вече съществуваща европейска регулация станала известна като NIS 1, а у нас преведена като МИМИС (минимални изисквания за мрежовата информационна сигурност).

МИС 2 е в основата за управление на риска в областта на киберсигурността и въвежда мерки, които работят за засилване на защитите срещу потенциални кибератаки. МИС 2 има за цел да насърчи обмена на информация и сътрудничеството за управление на кибератаки между държавите членки на ЕС, както и да повиши нивото им на киберустойчивост. Във всяка държава членка се определят минимални правила и механизми за ефективно сътрудничество между компетентните органи. Освен самите организации, МИС 2 засяга и техните вериги на доставки. Всички доставчици са задължени косвено, т.е. чрез изисквания от самите организации, които обслужват, да спазват регулациите за информационна и мрежова сигурност.

Какви изисквания въвежда МИС 2

• Многоетапен подход за докладване на инциденти. Засегнатите компании разполагат с 24 часа от момента, в който за първи път разберат за инцидент, за да подадат ранно предупреждение до CSIRT или компетентен национален орган, което би им позволило да потърсят помощ, ако я поискат. Ранното предупреждение трябва да бъде последвано от уведомление за инцидент в рамките на 72 часа след узнаването му и окончателен доклад не по-късно от месец
• Всяка държава членка трябва да спазва определени стандарти за киберсигурност, за да се улесни съвместния обмен на данни и по-ефикасните решения на възникнали киберинциденти
• Сигурност на веригите за доставки и взаимоотношенията с доставчици, като изисква от отделните компании да се справят с рисковете за киберсигурността във веригите за доставки и взаимоотношенията с доставчици
• Политики за контрол на достъпа и въвеждане на многофакторна автентикация
• Риск-анализи на наличните информационни системи и въвеждане на политики за сигурност
• Управление на превенцията, ранното откриване и реагирането на инциденти – необходимо е всяка организация да има процедури за реагиране при киберинциденти
• Използването на криптография и криптиране
• Разкриване и справяне с уязвимости
• Анализ на риска и политики за сигурност на информационните системи
• Справяне с инциденти (предотвратяване, откриване и реагиране на инциденти)
• Непрекъснатост на дейността и управление на кризи
• Сигурност при разработването и поддръжката на мрежите и информационните системи, включително обработката и разкриването на уязвимости

Кои организации попадат под изискванията на МИС 2

Регулацията засяга всички организации с над 50 служители и/или 10 млн. евро оборот годишно, като част от фирмите са в областта на:

1. Енергетика (електричество, петрол, газ, централно отопление)
2. Транспорт (въздушен, железопътен, воден и автомобилен)
3. Финансови и банкови институции
4. Здравеопазване (болници и лаборатории)
5. Питейна вода, Отпадъчни води (но само ако това е основна дейност)
6. Цифрови инфраструктури (телекомуникации, DNS, TLD, центрове за данни, облачни услуги)
7. Дигитални услуги (търсачки, онлайн пазари, социални мрежи)
8. Пощенски и куриерски услуги
9. Управление на отпадъците
10. Химикали (производство и разпространение)
11. Храна (Производство, преработка и разпространение)
12. Производство (по-специално, но не само, медицинско, компютърно и транспортно оборудване)
13. Централни и регионални публични администрации

Последици при неспазване на изискванията

Директивата МИС 2 има за цел да наложи преминаване към едно по-високо ниво на киберзащита, да премахне различията в националните изисквания за киберсигурност и в прилагането на мерките за киберсигурност в различните държави членки. Съответно е заложена възможност за регулиране на тяхното спазване, която включва налагането на финансови санкции: глоби до 10 млн. евро или 2% от годишния оборот на компанията в зависимост от това коя от тези цифри е по-висока.

Как КОНТРАКС може да ви помогне да подобрите вашата киберзащита

Над 10 години КОНТРАКС предлага решения на водещите производители в областта на киберсигурността. Ето защо ние можем да ви осигурим необходимите инструменти и решения, с които да подобрите вашата защита и да сте в съответствие с изискванията на МИС 2. Експертизата ни на дългогодишен системен интегратор ни позволява да доставим, инсталираме и поддържаме решенията, които предлагаме, а също така да надградим при необходимост. Оставаме на ваше раположение за повече информация и консултация как да се справите с новите заплахи и предизвикателства в областта на киберзащитата.