Редица компании могат да бъдат изправени пред солидни глоби или дори прекратяване на дейността им в Европейския съюз съгласно строги нови разпоредби относно киберсигурността.
Директивата на ЕС за мрежова и информационна сигурност МИС 2 (Network and Information Security Directive - NIS2) влиза в сила от днес, 17 октомври. Тя предвижда правни мерки с цел повишаване на общото ниво на киберсигурност в рамките на Евросъюза, както и гарантиране на устойчивостта на мрежите и информационните системи на критичните субекти, работещи на територията му. Това означава, че компаниите, чиято дейност попада под новите правила, ще трябва да гарантират, че операциите им съответстват на тези задължения, пише Си Ен Би Си в анализ по темата.
Новата директива налага по-строги изисквания към компаниите относно тяхната стратегия за киберустойчивост и вътрешни практики.
Новото законодателство МИС 2, представено първоначално през 2020 г., надгражда съществуващата Директива за мрежова и информационна сигурност МИС. То разширява обхвата на своя предшественик, за да отговори на новите предизвикателства и заплахи за киберсигурността на ЕС, произтичащи от новите начини за пробив на киберсигурността на компаниите и компрометиране на техни чувствителни данни.
Директивата се прилага за организации, които работят в рамките на ЕС и предоставят основни услуги на потребителите, в това число банки, доставчици на енергия, здравни институции, интернет доставчици, транспортни фирми и преработватели на отпадъци.
Основните области, в които ще се фокусира новото европейско законодателство, са управление на риска, корпоративна отчетност, задължения за докладване и планиране на непрекъснатостта на бизнес процесите в случай на киберпробив.
МИС 2 на практика поставя нова основа за компаниите относно това какво е приемливо по отношение на защитата на гражданите, поддържане на операции и запазване на устойчивостта при кибератаки, посочва Герт ван дер Линден, изпълнителен вицепрезидент на глобалните услуги за киберсигурност в консултантската компания "Капджемини" (Capgemini).
"МИС 2 ще се разглежда като глобален стандарт от съдебните органи, когато стане приложим, добави той, обяснявайки, че "нашите клиенти, независимо дали се разглеждат като критични в регламента, трябва да разгледат тази базова основа и да се уверят, че са в съответствие (с разпоредбите – бел. ред.)".
Така компаниите ще се защитят ефективно срещу евентуални искове, обяснява Ван дер Линден. Той го сравни МИС 2 със сключването на застраховка на дома, за да защитите къщата си от крадци.
Компаниите също ще трябва да проверяват своите цифрови вериги за доставки за киберзаплахи и уязвимости. Сега компаниите използват множество различни продукти и инструменти, потенциално осигурявайки на престъпниците повече начини да атакуват киберсистемите им.
Крис Гоу, ръководител на екипа за публична политика в ЕС на американската компания "Сиско" (Cisco), каза пред Си Ен Би Си, че компаниите трябва да извършат преглед на своите доставчици на технологии, за да оценят всички потенциални рискове.
Те също така ще имат задължение да докладват и споделят информация за констатирани уязвимости в киберпространството и хакове с други компании съгласно МИС 2, дори ако това означава да се признае за пробив в сигурността.
Какви ще са последствията при неспазване на разпоредбите?
Компаниите, които не спазват новия закон, могат да бъдат изправени пред огромни финансови глоби, наред с други наказателни действия срещу тях.
За субекти, считани за критично важни, като транспортни, финансови и водоснабдителни компании, неспазването на МИС 2 може да доведе до глоби, достигащи 10 милиона евро (11,1 милиона долара) или 2 процента от глобалните им годишни приходи, в зависимост от това коя от двете суми в крайна сметка е по-високата.
Хранителни компании, химически фирми и услуги за управление на отпадъци са изправени пред глоби до 7 милиона евро или 1,4 процента от глобалните си годишни приходи, ако не спазват новите разпоредби.
Фирмите също могат да бъдат изправени пред възможно прекратяване на услугите им, както и по-строг надзор, за да се проследи дали са спазили изискванията.
Ако даден бизнес стане жертва на киберпробив, той ще има 24 часа, за да изпрати уведомление до властите.
Периодът е намален в сравнение с 72-часовия времеви прозорец, с който разполагат фирмите, за да уведомяват властите за нарушение на сигурността на данните съгласно Регулацията за защита на личните данни (GDPR).