МИС 2 (NIS2): Изграждане на съответствие с Директивата за Мрежова и Информационна Сигурност 2

МИС 2_директива

Директивата за мрежова и информационна сигурност МИС 2 (Network and Information Security 2 Directive NIS2) предвижда правни мерки с цел повишаване на общото ниво на киберсигурност в рамките на Европейския съюз (ЕС), както и гарантиране на устойчивостта на мрежите и информационните системи на критичните субекти извършващи дейност в ЕС. Специален акцент е поставен върху реагирането на инциденти в областта на киберсигурността. Предвидени са задължения за докладване на инциденти и обмен на тази информация между екипите за реагиране на инциденти в областта на киберсигурността на държавите – членки на ЕС. МИС 2 влиза в сила на 18 октомври 2024 г. и ще замени Директивата за мрежовите и информационните системи (МИС), действаща от май 2018 г. 

МИС 2 (NIS2): НОВИ ОРГАНИЗАЦИОННИ ИЗИСКВАНИЯ

С цел постигане на повишено общо ниво на киберсигурност в ЕС с Директивата МИС 2 се въвеждат нови изисквания и задължения за организациите в четири основни области:  

УПРАВЛЕНИЕ НА РИСКА

Организациите, попадащи в обхвата на МИС 2, са задължени да предприемат мерки за минимизиране на киберрисковете, включително: управление на инциденти, сигурност на веригата за доставки, подобрена мрежова сигурност, контрол на достъпа и криптиране.

КОРПОРАТИВНА ОТЧЕТНОСТ

Въвеждане на задължения за корпоративното ръководство, включително: да следи и одобрява мерките за киберсигурност, да разработи и изпълнява стратегии за справяне с киберрисковете, и да бъде обучено относно най-добрите практики в областта на киберсигурността.

ОБРАБОТКА И ДОКЛАДВАНЕ НА ИНЦИДЕНТИ

Основните и важни субекти имат задължение за въвеждане на процеси за незабавно докладване на инциденти със сигурността, които са със значително въздействие върху предоставянето на услуги или върху бенефициентите.

НЕПРЕКЪСНАТОСТ НА БИЗНЕСА

Организациите имат задължение да изготвят и внедрят план за осигуряване на непрекъснатост на бизнеса в случай на киберинцидент. Този план включва резервно копие, възстановяване на системата, спешни процедури и създаване на екип за реагиране при кризи.

МИС 2 (NIS2): ДЕСЕТ МИНИМАЛНИ МЕРКИ

В допълнение, за основните и важни субекти е задължително въвеждането на минимални мерки за сигурност за справяне със специфични форми на вероятни киберзаплахи. Те включват: 

Въвеждане на политики за анализ на риска и сигурност на информационната система
01
Въвеждане на план за обработка и докладване на инциденти, свързани със сигурността
02
Въвеждане на план за управление на бизнес операции по време и след инцидент по сигурността (business continuity)
03
Въвеждане на политики и процедури за оценка на ефективността на мерките за управление на риска за киберсигурността
04
Сигурност на веригите за доставки, включително взаимоотношенията между всеки субект и неговите преки доставчици или доставчици на услуги
05
Сигурност при придобиването, разработването и поддръжката на мрежи и информационни системи
06
Провеждане на периодични обучения по киберсигурност и основни практики за киберхигиена
07
Въвеждане на политики и процедури по отношение на използването на криптография, а когато е приложимо и криптиране
08
Въвеждане на решения за многофакторно или непрекъснато удостоверяване, криптиране на глас, видео и текст, криптирана вътрешна комуникация
09
Въвеждане на процедури за сигурност на човешките ресурси, политики за контрол на достъпа и управление на активи
10
Previous slide
Next slide

МИС 2 (NIS2): ПОДХОД КЪМ ДОКЛАДВАНЕТО НА ИНЦИДЕНТИ

Новата директива предвижда многоетапен подход към докладването на инциденти. Засегнатите организации разполагат с 24 часа, считано от момента, в който за пръв път са узнали за инцидента, за да подадат ранно предупреждение до националния екип за реагиране при инциденти с информационната сигурност, или до компетентния национален орган. Това ще им позволи също така да потърсят помощ (насоки или оперативни съвети относно прилагането на възможни мерки за смекчаване на последиците). Ранното предупреждение следва да бъде последвано от уведомление за инцидент в рамките на 72 часа от разбирането за инцидента и окончателен доклад не по-късно от един месец.

МИС 2 (NIS2): КОНТРОЛ И САНКЦИИ

Европейската комисия е постигнала съгласие за значителни санкции за организациите, които не спазват изискванията на МИС 2. Те могат да получат административна глоба в размер до 10 млн. евро, или 2 % от общите глобални годишни приходи за съществени сектори или до 7 млн. евро или 1,4 % от общите глобални годишни приходи за важни сектори, както и потенциално отстраняване на висшия ръководен състав на организацията. 

МИС 2 (NIS2): ЗА КОГО СЕ ОТНАСЯ?

В обхвата на МИС 2 попада всяко средно и голямо предприятие, с повече от 50 служители или с годишен оборот над 10 млн. евро от изброените сектори с висока критичност и други критични сектори. Въз основа на сектора и значението на субектите (организациите), те ще бъдат класифицирани като: основни и важни субекти. Основното разграничение между основните и важни субекти е по отношение на надзорните и правоприлагащите мерки, както и по отношение на санкциите, които ще се прилагат за тях:

  • Основен е субект от  сектор с висока степен на критичност, който ще подлежи на всеобхватен предварителен и последващ контрол от компетентните органи.
  • Важен е субект попадащ в обхвата на МИС 2, но некласифициран като съществен, който ще подлежи единствено на последващ надзор.

Дори ако вашата организация не се намира физически в ЕС, тя може да бъде обект на МИС 2, при положение, че предоставя услуги, в която и да е държава-членка на ЕС.  

Съгласно чл. 2, МИС 2 се прилага за всички средни предприятия или по-големи субекти в секторите, посочени в приложения I и II към директивата.

МИС 2 (NIS2): СЕКТОРИ С ВИСОКА КРИТИЧНОСТ

ЕНЕРГЕТИКА
доставка, разпределение, пренос и продажба на електричество, нефт, газ, масло, централно отопление, охлаждане, водород
ЗДРАВЕН СЕКТОР
публични и частни доставчици на здравни услуги, производители на медицинско оборудване и лекарства, доставчици на медицински застраховки и други важни услуги, свързани със здравето
ДИГИТАЛНА ИНФРАСТРУКТУРА и ИТ УСЛУГИ
телекомуникации, центрове за данни, регистри, доставчици на облачни услуги, управлявани услуги и услуги по сигурност, ИКТ
ВОДОСНАБДЯВАНЕ и КАНАЛИЗАЦИЯ
доставчици на питейна вода и оператори на отпадъчни води
ПУБЛИЧНА АДМИНИСТРАЦИЯ
централна, регионална и местна
ФИНАНСОВ СЕКТОР
кредитиране, търговия, пазари и инфраструктура
ТРАНСПОРТ
въздушен, железопътен, автомобилен и воден (вкл. морски превози и пристанищни съоръжения)
КОСМОС
наземни оператори на инфраструктура

МИС 2 (NIS2): ДРУГИ КРИТИЧНИ СЕКТОРИ

ПОЩЕНСКИ и КУРИЕРСКИ УСЛУГИ
множество организации, ангажирани с доставката на поща и колети, от национални пощенски служби до малки куриерски компании с пазарни ниши
НАУЧНИ ИЗСЛЕДВАНИЯ
научноизследователски организации
ПРОИЗВОДСТВО
медицински изделия и медицински изделия за инвитро диагностика; компютри, електронни и оптични продукти; електрически съоръжения; моторни превозни средства, ремаркета и полуремаркета; машини и оборудване, некласифицирани другаде; друго транспортно оборудване
ХРАНИТЕЛНО-ВКУСОВ СЕКТОР
индустриално производство, преработка и дистрибуция на едро
СЕКТОР ХИМИЯ
производство, изготвяне и дистрибуция на химикали
ДОСТАВКА на ЦИФРОВИ УСЛУГИ
търсачки, онлайн магазини, социални платформи
УПРАВЛЕНИЕ на ОТПАДЪЦИ

Решения за изграждане и поддържане на съответствие с Директивата МИС 2 (NIS2)

1. Анализ на риска и сигурност на информационната система
Oneidentity logo 600x300px

One Identity and OneLogin Identity and Access Management (IAM)

Решението помага на организациите да оценят рисковете, свързани с идентичността и достъпа дo критични ресурси. Предоставя на потребителите достъп само и единствено до данните и приложенията, от които се нуждаят, за да отговорят на изискванията за работоспособност. Осъществява контрол на достъпа и одит на идентичността, при нужда.

OpenText Logo

NetIQ Identity and Access Management (IAM)

 

Решение за управление на идентичността и достъпа, което помага на организациите да контролират достъпа до критични ресурси и да намалят риска от злоупотреба с привилегии. Решението осигурява управление на идентичността и ролите, Single Sign-On, многофакторно удостоверяване и автоматизирано управление на достъпа.

2. Обработка и докладване на инциденти
3. Непрекъснатост на бизнеса (Business continuity)
Quest logo 600x300px

NetVault Plus

Решение за централизирано управление на архивирането на множество системи и приложения. Поддържа, както физически, така и виртуални сървъри, бази данни и файлови системи. 

Quest logo 600x300px

QoreStore

Софтуерно решение за оптимизиране на съхранението на данни и увеличаване на скоростта на архивиране. Интегрира се с различни решения за архивиране, вкл. Veeam. 

OpenText Logo

Data Protector

Решение за централизирано управление на архивирането на множество системи и приложения. Поддържа, както физически, така и виртуални сървъри, бази данни и файлови системи. 

4. Сигурност на веригите за доставки
5. Сигурност при придобиването, разработването и поддръжката на мрежи и информационни системи
macmon logo 600x300px

Network Access Control (NAC)

Решение, което предоставя пълна видимост на всички познати и непознати устройства в локалната мрежа. Ограничава или блокира използването на външни или не конфигурани устройства свързващи се към мрежата. Не се изисква промяна на съществуващата инфраструктура, както и в конфигурацията на съществуващата мрежа.

OpenText Logo

Fortify

Решение, което предлага най-изчерпателните статични и динамични технологии за тестване на сигурността на приложенията, предоставящо мониторинг и защита на приложенията по време на изпълнение. Откриване на рискове в сигурността и лицензни рискове, в софтуера от трети страни. 

6. Oценка на ефективността на мерките за управление на риска за киберсигурността
OneLogin_logo_small

Access Management

Решение, което предлага управление на достъпа, single-sign-on, многофакторна и адаптивна автентикация с различни опции за удостоверяване без парола. Позволява предварително тестване на промените и актуализациите на приложенията в контролирана среда, което свежда до минимум рисковете, свързани с внедряването. Разполага със система за откриване на заплахи, която генерира информация за риска и конфигурира автоматично потоците за вход на потребителите, като следи за аномалии в реално време.

OpenText Logo

Access Management

Решение, което предлага еднократна идентификация и контрол на достъпа в организацията, single-sign-on, API-сигурност и отдалечен достъп до уеб и API-базирани приложения. Решението поддържа Zero Trust модели за сигурност. Осигурява информация за стойността на риска на данните и нивото на защита на чувствителната информация, при поискване, одит или нужда от доказване на съответствие с регулаторни мерки.

OpenText Logo

Voltage

Решението предоставя възможност за анализи на структурирани и неструктурирани данни базирани на изкуствен интелект, както и идентифициране на чувствителни данни и свързания с тях риск. Възможността за откриване и подходящо маскиране на лични данни (напр. информация за кредитна карта, паспортна снимка, или кадри от видеонаблюдение извън публичното пространство), предпазва бизнеса от глоби и загуба на репутация, както и от евентуално изтичане на лични данни.

7. Основни практики за киберхигиена и обучение по киберсигурност
8. Политики и процедури по отношение на използването на криптография и, когато е приложимо, криптиране
Quest_logo

ApexSQL

Решението предоставя набор от инструменти за сигурност и съответствие, които позволяват на администраторите на бази данни, разработчиците и експертите по сигурността да класифицират, откриват, проверяват за уязвимости и защитават лични и чувствителни данни в техните бази данни на SQL Server и през целия им жизнен цикъл на DevOps CI/CD. Администраторите на бази данни могат да прилагат цялостни политики за одит с предупреждение и докладване, за да сведат до минимум излагането на бизнеса на несъответствие с нормативните изисквания или нарушения на данните. Решението позволява и маскиране на чувствителни данни.

OpenText Logo

Voltage

Решение за защита на данните, при което политиката за достъп се движи със самите данни, като позволява криптиране и токенизиране без промени във формата или целостта на данните. Eлиминира разходите и сложността на издаването и управлението на сертификати и симетрични ключове. Възможностите на решението включват: криптиране запазващо формата; поддържане на всички типове данни; запазване на референтната цялост на данните; NIST одобрен стандарт за криптиране – FF1 AES криптиране. Решението е съвместимо с различни системи и платформи, което позволява интеграция към вече съществуващата инфраструктура.

9. Сигурност на човешките ресурси, политики за контрол на достъпа и управление на активи
OpenText Logo

Identity and Access Management (IAM)

Решение за управление на идентичности, което помага на организациите да автоматизират процесите си за управление на идентичността и достъпа. Това решение предлага единна точка на управление за потребителите, групите и ролите, както и за управлението на привилегиите и достъпа, оптимизиране на процесите и намаляване на риска от неоторизиран достъп.

Oneidentity logo 600x300px

Privileged Access Management (PAM)

Решение за управление на привилегирован достъп, което може да помогне на организациите да контролират достъпа до критични ресурси и да намалят риска от злоупотреба с привилегии. Решението предлага мониторинг на привилегирования достъп, управление на паролите, управление на достъпа, поведенчески анализ и пълна отчетност на действията на потребителите.

OpenText Logo

Asset Management

Решение за инвентаризация на хардуерните и софтуерните активи, управление на лицензи и пачове, откриване на промени в конфигурацията 

10. Многофакторно удостоверяване, или решения за непрекъснато удостоверяване
OneSpan Logo 300x600px

Hardware OTP tokens, Mobile OTP tokens, FIDO hardware authenticators

Решения за мултифакторна автентикация (MFA), които повишават сигурността на достъпа до данни и приложения. Могат да бъдат: физически устройства, които генерират еднократна парола (OTP); софтуерни приложения инсталирани на мобилни устройства и хардуерни публични/частни ключове.

OneLogin_logo_small

Access Management

Решение за управление на достъпа, което осигурява single sign-on, многофакторна автентикация, интеграция с активна директория, LDAP и други външни директории, потребителско провизионизиране, управление на крайни точки и други.

OpenText Logo

Access Management

Решение за управление на достъпа, което осигурява single sign-on, многофакторна автентикация, интеграция с активна директория, LDAP и други външни директории, потребителско провизионизиране, управление на крайни точки и други.

Екипът на Еском България се състои от опитни експерти в областта на информационната и киберсигурност, които могат да ви помогнат да бъдете в съответствие с изискванията на Директивата МИС 2.

Сподели:

Още публикации:

Свържете се с нас

Контакти

При нужда от технологична експертиза, както и обсъждане на идеи за проекти, моля свържете се с нас

IT решения, които работят за Вас:
безгрижно, сигурно и ефективно, всеки ден!

Връзка с нас:

Последвайте ни:

IT решения, които работят за Вас:
безгрижно, сигурно и ефективно, всеки ден!

Меню

Използваме бисквитки

Този сайт използва “бисквитки” (cookies) за подобряване потребителското изживяване.