Всичко, което трябва да знаете, за новата Директива NIS 2

Основната цел на директивата NIS 2 е да повиши нивото на киберустойчивост в целия Европейски Съюз като изисква от всички субекти, които предоставят критични услуги на икономиката и обществото като цяло, да предприемат подходящи мерки за киберсигурност.

Ревизираната директива на ЕС относно сигурността на мрежите и информационните системи (NIS 2) ще отмени и замени съществуващата Директива NIS.

Директивата, приета през 2016 г., беше първият общоевропейски закон за киберсигурност.

Важно е да се отбележи, че NIS 2 също така адресира недостатъците на текущата рамка на NIS, както и реагира на промените в пейзажа на заплахите за киберсигурността.

Какво ще се промени по отношение на управлението на риска от трети страни с NIS 2?

Целта на Директивата NIS 2 е да бъде по-широкообхватна и по-всеобхватна. Разглеждайки конкретно управлението на риска от трета страна, NIS 2 включва три основни промени, които трябва да вземете предвид:

1. Специфични изисквания за управление на риска от трета страна

   NIS 2 подчертава, че организациите трябва проактивно да управляват рисковете, въведени от трети страни. Това включва всички доставчици на продукти и услуги. Директивата гласи, че организациите трябва поне:

   • Да оценяват и вземат под внимание цялостното качество на продуктите и практиките за киберсигурност на техните доставчици на стоки и услуги, включително техните процедури за сигурност (член 43)
   • Да проявят повишено внимание при избора на услуги за сигурност от управляван доставчик на услуги (член 44)
   • Да обърнат внимание на рисковете за киберсигурността, произтичащи от техните взаимодействия с други заинтересовани страни (член 45)
   • Да участват в оценките на риска на доставчиците (член 46)

2. Кои организации трябва да отговарят на изискванията на Директивата NIS 2?

   Разширеният обхват включва повече сектори, които са разделени на „основни“ и „важни“ субекти въз основа на това колко критични са за икономиката и обществото. Това включва организации в следните сектори:

   • Енергия (електричество, петрол, газ, централно отопление)
   • Транспорт (въздушен, железопътен, воден и автомобилен)
   • Банкиране, инфраструктури на финансовия пазар
   • Здравеопазване (включително лаборатории и изследвания на фармацевтични продукти и медицински изделия)
   • Питейна вода, Отпадъчни води (но само ако това е основна дейност)
   • Цифрови инфраструктури (телекомуникации, DNS, TLD, центрове за данни, доверителни услуги, облачни услуги)
   • Дигитални услуги (търсачки, онлайн пазари, социални мрежи)
   • Пощенски и куриерски услуги
   • Управление на отпадъците
   • Химикали (производство и разпространение)
   • Храна (Производство, преработка и разпространение)
   • Производство (по-специално, но не само, медицинско, компютърно и транспортно оборудване)
   • Публични администрации

3. Неспазването на Директивата NIS 2 се наказва с глоби

   Специфичните за сектора надзорни органи ще получат правомощия да налагат санкции и глоби на организации, които не спазват Директивата NIS 2. Административните глоби могат да бъдат до 7 милиона евро или 1,4% от годишния световен оборот за важни индустрии и до 10 милиона евро или 2% от оборота за основни субекти.

Как Gravitech може да ви помогне да се съобразите с изискванията на Директивата NIS 2?

Нашите софтуерни модули са изцяло съобразени с изискванията на Директивата NIS 2. Ние можем да определим нивото на съответствие на вашия бизнес и да ви помогнем да приложите необходимите мерки спрямо промените.

Работата с Gravitech ще подобри вашата киберсигурност и ще гарантира съответствие с Директивата NIS 2.