Кого ще засегне новата европейска директива за киберсигурност NIS2

Кого ще засегне новата европейска директива за киберсигурност NIS2

Директивата NIS2 (Network and Information Security) беше одобрена от Европейския съюз през декември 2022 г. и отделните страни от ЕС бяха задължени да я приложат до 18 октомври 2024 г. На практика обаче тя все още не е въведена в законодателството на много държави-членки на ЕС.
NIS2 – кой е засегнат?
Новото законодателство ще обхване десетки хиляди компании в целия Европейски съюз, внасяйки значителни промени в начина, по който се управлява киберсигурността в публичния и частния сектор. За разлика от своя предшественик – първата директива за мрежова и информационна сигурност – новата версия обхваща публичната администрация, хранителния сектор, индустрията и управлението на отпадъците, както и други сектори.
Директивата дефинира два типа субекти:
● Основни субекти с най-широк спектър от отговорности.
● Важни субекти, които трябва да отговарят на по-малко строги изисквания, но също подлежащи на регулация.
Като съществени субекти и важни субекти обикновено могат да се считат субекти от секторите, изброени в приложения I и II на директивата, които са най-малко средно предприятие (с персонал от най-малко 50 души или чийто годишен оборот надхвърля 10 милиона евро). Също така са включени други обекти, дефинирани от директивата NIS2, напр. субекти на публичната администрация, субекти, определени като критични субекти съгласно Директива (ЕС) 2022/2557, доставчици на обществени електронни съобщителни мрежи или на обществено достъпни електронни съобщителни услуги, доставчици на квалифицирани удостоверителни услуги и регистри на имена на домейни от първо ниво, както и доставчици на DNS услуги, независимо от размера им. Други субекти също могат да бъдат включени въз основа на националното законодателство.
Директивата обаче включва няколко изключения. До 17 април 2025 г. всички държави-членки трябва да създадат списъци с горепосочените субекти, които да бъдат обхванати от новите разпоредби.
Когато се занимавате с киберсигурност, става въпрос за внедряване на система за управление на киберсигурността и винаги трябва да имате предвид:
● степента на риск
● степента на предстоящите последици
● наличния бюджет
● целесъобразност.

NIS2 и софтуера от вторичния пазар
Когато избирате следпродажбен софтуер, който често позволява оптимизиране на разходите до 70 процента от цената, в сравнение със закупуването на софтуера директно от производителя, трябва да имате предвид няколко съображения за киберсигурност.
Тези съвети ще бъдат полезни не само в контекста на прилагане на разпоредбите на директивата NIS2, но и за сигурното управление на ИТ инфраструктурата в една организация като цяло.
Най-важното е, че трябва да се стремите да използвате софтуер, чийто жизнен цикъл на продукта не е приключил. Това означава, че за такъв продукт производителят все още предоставя най-новите актуализации, засягащи, наред с други неща, подобрената киберсигурност.
Този цикъл понякога продължава до десетина години, но винаги си струва да попитате софтуерен брокер за подробности и професионална помощ. Би било още по-препоръчително, ако избраният брокер предлага разширен набор за поддръжка, включително техническа, лицензионна, за съответствие и правни услуги – подход, отразен в предложенията на надеждни компании като Forscope.
Тук си струва да споменем, че жизненият цикъл на софтуера обикновено се състои от четири фази:
● Първата е пълна поддръжка, при която софтуерът получава всички актуализации – обхващащи както проблеми със сигурността, така и други области – и позволява заявки за промени в продукта или неговите функционалности от производителя.
● Втората е разширена поддръжка. Различава се от първата, главно защото вече не е възможно да се изискват промени в продукта или функционалността, тъй като вече не са налични актуализации, които не са свързани с киберсигурността. Други елементи, като актуализации за киберсигурност и достъп до поддръжка, остават същите.
● Третата е фазата след поддръжката. След това все още е възможно да използвате актуализации за киберсигурност за известно време, но само срещу допълнителна такса. В същото време това е последният момент да се огледаме за по-нов софтуер.
● Софтуер, който вече не се поддържа.
Алтернатива на фази три и четири може да включва използването на специални решения за подобряване на киберсигурността на софтуера, който вече не се поддържа от производителя. Тези решения могат също да бъдат препоръчани и предоставени от софтуерни брокери.
Следователно тези, които управляват ИТ инфраструктурата на организацията, трябва да не забравят редовно да инсталират корекции и актуализации, които могат да помогнат за предотвратяване на излагането на системите на атаки.
Освен това винаги се уверявайте, че използвате проверен софтуер, предоставен от доверен брокер. Това е от съществено значение, тъй като на пазара има измамници, които предлагат например само продуктови ключове без подходяща документация. Незаконното закупуване на такъв софтуер увеличава риска от съдебни спорове, отговорност за вреди от нарушени права на интелектуална собственост и, в случай на инсталиране от непознати инсталационни файлове, риска от инсталиране на зловреден софтуер. Ето защо е изключително важно да изберете доверен доставчик.
Другите проблеми са универсални и се отнасят за всеки тип софтуер, но все пак си заслужава да бъдат споменати.
Използването на прости, повтарящи се пароли, които атакуващите могат лесно да разкрият, трябва да се избягва. Въпреки широко разпространените съвети да изберете парола с поне 8 знака, включително главни и малки букви, специални знаци и цифри, много по-добре е да изберете добре запомняща се фраза като парола. Значителното увеличаване на дължината на паролата увеличава общия брой възможни комбинации, а лесното запомняне намалява риска потребителят да запише паролата някъде. Това подчертава значението на редовното обучение на служителите относно рисковете за киберсигурността и мерките, необходими за тяхното смекчаване.
Редовното архивиране е от съществено значение, за да се избегне необратимата загуба на големи количества данни в случай на инцидент.
Физическата сигурност на инфраструктурата също трябва да бъде приоритет. Мениджърите трябва да гарантират, че достъпът до зоните, в които се намират ИТ системи, е строго контролиран и че цялата ИТ инфраструктура е защитена срещу кражби и саботаж.
И накрая, добре е да запомните, че киберсигурността не се отнася само до ИТ, но и до физическа сигурност и образование. Средствата, които могат да бъдат спестени чрез рентабилно закупуване на лицензи, могат да се използват за укрепване на физическата сигурност, обучение на потребителите или други инвестиции в ИТ сигурност.
Мнението е на Michal Baudys, Public Sector Strategy Leader за пазарите от ЕС във Forscope.

SunnyNews

Philips 34B2U3600C е първият модел на Philips Monitors с TCO Certified Generation 10 и 5-годишна гаранция

Philips 34B2U3600C е първият модел на Philips Monitors с TCO Certified Generation 10 и 5-годишна гаранция

Как да сменим твърдия диск на PS5 Pro?

Как да сменим твърдия диск на PS5 Pro?

Honor превръща омразата в любов с картичка за Свети Валентин, изработена изцяло от негативни отзиви за конкурентни устройства

Honor превръща омразата в любов с картичка за Свети Валентин, изработена изцяло от негативни отзиви за конкурентни устройства

Професионална изработка на сайтове в Бургас – дългосрочни ползи

Професионална изработка на сайтове в Бургас – дългосрочни ползи

Ники Захариев ще се включи в концерт, посветен на 70-годишнината на Кирил Икономов

Ники Захариев ще се включи в концерт, посветен на 70-годишнината на Кирил Икономов

Серията монитори AOC GAMING G42 прави по-достъпна високата честота на опресняване в игрите

Серията монитори AOC GAMING G42 прави по-достъпна високата честота на опресняване в игрите

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *