Влизащата в сила европейска директива за киберсигурост застрашава компаниите с огромни глоби и спиране на дейността им


Редица компании могат да бъдат изправени пред солидни глоби или дори прекратяване на дейността им в Европейския съюз съгласно строги нови разпоредби относно киберсигурността.
Директивата на ЕС за мрежова и информационна сигурност МИС 2 (Network and Information Security Directive - NIS2) влиза в сила от днес, 17 октомври. Тя предвижда правни мерки с цел повишаване на общото ниво на киберсигурност в рамките на Евросъюза, както и гарантиране на устойчивостта на мрежите и информационните системи на критичните субекти, работещи на територията му. Това означава, че компаниите, чиято дейност попада под новите правила, ще трябва да гарантират, че операциите им съответстват на тези задължения, пише Си Ен Би Си в анализ по темата.
Новата директива налага по-строги изисквания към компаниите относно тяхната стратегия за киберустойчивост и вътрешни практики.
Новото законодателство МИС 2, представено първоначално през 2020 г., надгражда съществуващата Директива за мрежова и информационна сигурност МИС. То разширява обхвата на своя предшественик, за да отговори на новите предизвикателства и заплахи за киберсигурността на ЕС, произтичащи от новите начини за пробив на киберсигурността на компаниите и компрометиране на техни чувствителни данни.
Директивата се прилага за организации, които работят в рамките на ЕС и предоставят основни услуги на потребителите, в това число банки, доставчици на енергия, здравни институции, интернет доставчици, транспортни фирми и преработватели на отпадъци.
Основните области, в които ще се фокусира новото европейско законодателство, са управление на риска, корпоративна отчетност, задължения за докладване и планиране на непрекъснатостта на бизнес процесите в случай на киберпробив.
МИС 2 на практика поставя нова основа за компаниите относно това какво е приемливо по отношение на защитата на гражданите, поддържане на операции и запазване на устойчивостта при кибератаки, посочва Герт ван дер Линден, изпълнителен вицепрезидент на глобалните услуги за киберсигурност в консултантската компания "Капджемини" (Capgemini).
"МИС 2 ще се разглежда като глобален стандарт от съдебните органи, когато стане приложим, добави той, обяснявайки, че "нашите клиенти, независимо дали се разглеждат като критични в регламента, трябва да разгледат тази базова основа и да се уверят, че са в съответствие (с разпоредбите – бел. ред.)".
Така компаниите ще се защитят ефективно срещу евентуални искове, обяснява Ван дер Линден. Той го сравни МИС 2 със сключването на застраховка на дома, за да защитите къщата си от крадци.
Компаниите също ще трябва да проверяват своите цифрови вериги за доставки за киберзаплахи и уязвимости. Сега компаниите използват множество различни продукти и инструменти, потенциално осигурявайки на престъпниците повече начини да атакуват киберсистемите им.
Крис Гоу, ръководител на екипа за публична политика в ЕС на американската компания "Сиско" (Cisco), каза пред Си Ен Би Си, че компаниите трябва да извършат преглед на своите доставчици на технологии, за да оценят всички потенциални рискове.
Те също така ще имат задължение да докладват и споделят информация за констатирани уязвимости в киберпространството и хакове с други компании съгласно МИС 2, дори ако това означава да се признае за пробив в сигурността.
Какви ще са последствията при неспазване на разпоредбите?
Компаниите, които не спазват новия закон, могат да бъдат изправени пред огромни финансови глоби, наред с други наказателни действия срещу тях.
За субекти, считани за критично важни, като транспортни, финансови и водоснабдителни компании, неспазването на МИС 2 може да доведе до глоби, достигащи 10 милиона евро (11,1 милиона долара) или 2 процента от глобалните им годишни приходи, в зависимост от това коя от двете суми в крайна сметка е по-високата.
Хранителни компании, химически фирми и услуги за управление на отпадъци са изправени пред глоби до 7 милиона евро или 1,4 процента от глобалните си годишни приходи, ако не спазват новите разпоредби.
Фирмите също могат да бъдат изправени пред възможно прекратяване на услугите им, както и по-строг надзор, за да се проследи дали са спазили изискванията.
Ако даден бизнес стане жертва на киберпробив, той ще има 24 часа, за да изпрати уведомление до властите.
Периодът е намален в сравнение с 72-часовия времеви прозорец, с който разполагат фирмите, за да уведомяват властите за нарушение на сигурността на данните съгласно Регулацията за защита на личните данни (GDPR).

Лос Анджелис

Дванадесет американски щата съдят „Парамаунт“, за да спрат придобиването на „Уорнър Брос Дискавъри“

Калифорния и още 11 американски щата са завели дело, за да блокират придобиването на „Уорнър Брос Дискавъри“ (Warner Bros. Discovery)...

София

Дружеството „ВиК Добрич“ е в състояние на будна кома, заяви Манол Генов от държавния „ВиК Холдинг“

Дружеството „ВиК Добрич“ е в състояние на будна кома. Това определение използва Манол Генов, член на СД на „ВиК Холдинг“,...

Стокхолм

„Ериксон“ отчете по-добра от очакваното печалба, но предупреди за по-високи разходи заради бума при изкуствения интелект

Шведският производител на телекомуникационно оборудване „Ериксон“ (Ericsson) отчете по-добра от очакваната оперативна печалба за второто тримесечие, подкрепена от облачните услуги...

София

Проблемите с водоснабдяването в област Добрич се дискутират на среща в парламента в търсене на решения

Проблемите с водоснабдяването в област Добрич се обсъждат на среща в парламента, организирана по инициатива на депутата от "Демократична България"...

Москва

Русия обяви, че може да пренасочи товари от Азовско море по други маршрути заради засилените украински атаки

Руското министерство на транспорта заяви, че може да пренасочи товари, превозвани от кораби през Азовско море, към други видове транспорт...

София

„Лидл България“ отчете ръст на продажбите и износа на български продукти чрез международната си мрежа

„Лидл България“ отчете ръст на продажбите на български продукти и на износа им чрез международната мрежа на компанията по време...