С Датикум лесно постигате съответствие с изискванията на NIS2
Георги Цеков, изпълнителен директор на Датикум, разказва какви са последиците от NIS2 за бизнеса и какви стратегии се препоръчват
Г-н Цеков, Европейският съюз (ЕС) разшири обхвата на мерките и предписанията за превенция на киберзаплахите в актуализираната директива за мрежова и информационна сигурност NIS2. Как това ще помогне на бизнеса да постигне по-високо ниво на киберзащита?
Допълването на съществуващата Директива МИС2/NIS2 включва редица нови изсквания, които трябва да бъдат въведени до есента на 2024 г. Промените целят да се засили устойчивостта на киберсигурността, като включват основни сектори, в които се въвеждат по-строги разпоредби и по-стандартизиран подход. Това обаче има и своята цена – тази засилена позиция по отношение на сигурността е от полза за обществото като цяло, но предприятията, работещи в определените отрасли, се изправят пред нови предизвикателства, свързани със спазването на изискванията.
Какви ще са последиците от NIS2 за бизнеса и какви стратегии се препоръчват, за да се постигне съответствие с предстоящите промени?
Една от най-значимите промени, въведени от NIS2, е разширяването на обхвата. Преди това директивата беше насочена предимно към операторите на критична инфраструктура, като например енергетиката, транспорта и здравеопазването. Сега се обхващат по-широк кръг от сектори, включително управление на отпадъци, пощенски услуги, хранителни стоки, комунални услуги и т.н. Директивата засяга компании с 50+ служители и годишен оборот над 10 M евро, което гарантира, че дори средните предприятия в тези чувствителни сектори са обект на нейните разпоредби. По-широкият обхват отразява взаимосвързаността на дигиталната инфрастуктура, отчитайки че кибератака срещу един субект може да има каскаден ефект върху множество отрасли.
Отвъд обхвата на NIS2 се налагат по-строги изисквания за сигурност. Директивата въвежда подход за управление на риска, като изисква от предприятията да идентифицират и намаляват проактивно потенциалните уязвимости в своите системи. Това включва прилагането на надеждни мерки за киберсигурност, като контрол на достъпа, криптиране на данни и планове за реакция при инциденти. Освен това NIS2 установява минимален списък от мерки за сигурност, към които организациите трябва да се придържат, като по този начин се гарантира базово ниво на защита във всички области.
Може ли да дадете конкретни примери, за да илюстрираме отражението върху бизнеса?
Първият пример засяга всички потребители и компании в електронната търговия. Да си представим, че голям онлайн търговец на дребно е подложен на сложна кибератака. Хакери получават неоторизиран достъп до тяхната база данни, намираща се в облака, като компрометират личната информация и картовите данни на милиони клиенти. Съгласно NIS2 този търговец ще бъде задължен да докладва за инцидента на съответните органи в рамките на 24 часа. Това бързо уведомяване е от решаващо значение за намаляване на потенциалните щети и предотвратяване на по-нататъшно използване на уязвимостта. Компанията също така ще трябва да проведе задълбочено разследване, за да разбере обхвата на нарушението, да установи основната причина и да приложи коригиращи мерки за предотвратяване на подобни инциденти в бъдеще. Освен това търговецът може да се сблъска с големи глоби за неспазване на разпоредбите на NIS2.
Този сценарий подчертава значението на надеждните мерки за сигурност на данните за предприятията за електронна търговия. Бизнесът трябва да инвестира в технологии за силно криптиране, за да защити данните на клиентите, да въведе протоколи за многофакторно удостоверяване, за да ограничи неоторизирания достъп, и редовно да провежда одити на сигурността, за да идентифицира и отстрани потенциални уязвимости. Освен това създаването на цялостен план за реакция при инциденти, който очертава ясни протоколи за комуникация и процедури за уведомяване на органите, е от съществено значение за осигуряване на бърз и ефективен отговор на кибератаки.
Вторият пример касае самата облачна индустрия, т.е пряката дейност на Датикум като доставчик на облачни услуги. Доставчикът на облачни услуги, обслужващ предприятия от различни сектори, също може да бъде обект на атака. Самите доставчици на облачни услуги попадат в разширения обхват на NIS2, и ние сме задължени да спазваме изискванията за сигурност на директивата и да докладваме инциденти. Въвеждат се по-строги протоколи за сигурност при съхранението на данни и достъпа до тях в облачната среда. Освен това трябва да гарантираме сигурността на собствената ни верига за доставки, което означава, че сме длъжни да оценяваме практиките за киберсигурност и на дружествата, с които си партнираме.
Затова ние от Датикум консултираме бизнеса не само как да се справи с предизвикателствата, но и използваме методология, която помага да постигнем съответствие с изискванията на директивата, която е специфична за нас като доставчик на облачни услуги. За нас, като клауд провайдър, NIS2 включва уникален набор от предизвикателства, които изискват многостранен подход за осигуряване на съответствие.
Нека спомена три от изискванията, които са стандарти за нас:
Двойно съответствие: Като доставчици на облачни услуги, ние сме задължени да осигурим собствената си инфраструктура, за да се придържаме към разпоредбите на NIS2. Това включва надеждни мерки за сигурност за центровете ни за данни, сървърни мрежи и системи за контрол на достъпа. Освен това ние трябва да разширим своите мерки за сигурност, за да се обхванат данните и системите на нашите клиенти, работещи в съответните сектори. Това може да наложи предлагането на многостепенни опции за услуги с различни нива на контрол на сигурността и сертификати за съответствие. Ние използваме инструменти за автоматизация и платформи за оркестрация на сигурността, за да рационализираме тези процеси и да гарантираме последователна сигурност в своята инфраструктура.
Сигурност на веригата за доставки: NIS2 подчертава значението на стабилната сигурност на веригата за доставки. Доставчиците на облачни услуги вече не могат да работят изолирано. Ние трябва да оценяваме практиките за киберсигурност на нашите партньори и доставчици, като потенциално ще изискваме и по-строги договорни споразумения, които да гарантират спазването на стандартите за сигурност на директивата. Това може да включва провеждане на одити на сигурността на доставчиците, въвеждане на изисквания за пребиваване на данните, за да се гарантира, че данните на клиентите остават в рамките на определени юрисдикции, и сътрудничество с партньорите за разработване на съвместни планове за реакция при инциденти.
Прозрачност и комуникация: Изграждането на доверие и прозрачност с клиентите ни е от решаващо значение. Доставчиците на облачни услуги, трябва ясно да информират за своите усилия за спазване на NIS2 и за начина, по който защитават данните на клиентите. Това може да включва предлагане на подробни доклади за сигурността, които описват фирмената позиция по отношение на сигурността, сертификатите за съответствие и процедурите за реагиране при инциденти. Освен това ние можем да участваме в съвместни оценки на риска с клиентите, като проактивно идентифицираме потенциални уязвимости в споделената среда. Като насърчаваме откритата комуникация и демонстрираме ангажираност със сигурността, ние от Датикум изграждаме доверие с клиентите и се позиционираме като надеждни партньори.
Какви са вашите препоръки към компаниите?
NIS2 представлява значителна стъпка напред за ЕС в усилията му да създаде по-сигурна цифрова среда. Адаптирането към по-строгите разпоредби е предизвикателство за бизнеса в посочените индустрии, но дългосрочните ползи надхвърлят първоначалните пречки. Чрез приоритизиране на инвестициите в киберсигурността, насърчаване на културата на информираност и сътрудничество, заинтересованите страни могат да имат жизненоважна роля за укрепване на цялостната киберустойчивост на ЕС.