Pic

Закон за киберсигурност: Как да се подготвим за новите изисквания?

В края на 2024 г Законът за киберсигурност трябваше да се промени. С напредъка на цифровите технологии киберсигурността става приоритетен въпрос за организации от всички сектори. Европейският съюз (ЕС) въведе Директивата НИС 2 (Директива (ЕС) 2022/2555), която има за цел да укрепи защитата на ключови услуги и инфраструктура срещу киберзаплахи.

В България процесът на транспониране на тази директива в националното законодателство се осъществява чрез изменения в Закона за киберсигурност.

В тази статия ще разгледаме Законът за киберсигурност, същността на НИС 2  ( МИС 2) и  как те влияят на организациите, какво трябва да се направи, за да бъдат спазени техните изисквания. Ще обсъдим и възможностите за обучение по НИС 2, които могат да помогнат на бизнеса и институциите да се подготвят ефективно.

Законът за киберсигурност: Основни положения

Законът за киберсигурност на Република България, приет през 2018 г., създава рамка за защита на критичната инфраструктура и услуги от киберзаплахи. Този закон има ключова роля в регулирането на сигурността в сектори като енергетика, транспорт, здравеопазване и финансови услуги.

Основни акценти на закона:

  • Изисква операторите на основни услуги и доставчиците на цифрови услуги да прилагат адекватни мерки за управление на риска.

  • Определя Националния компетентен орган (Държавна агенция „Електронно управление“) като водеща институция за координация и контрол.

  • Задължава организациите да докладват значителни киберинциденти в определен срок.

С приемането на NIS2, Законът за киберсигурност трябва да бъде актуализиран, за да отразява новите изисквания.

 

Какво е НИС2 и защо е важно да научите за нея?

Директивата NIS2 е подобрение и попълва пропуските на първоначалната Директива за сигурността на мрежите и информационните системи (NIS). Тя разширява обхвата и налага по-строги изисквания, за да подобри устойчивостта на ключови услуги срещу киберзаплахи в рамките на ЕС.

Основни нововъведения в НИС 2:

  1. Разширен обхват: Директивата включва нови сектори като пощенски услуги, управление на отпадъци, производство на храни и цифрови платформи.

  2. Строги изисквания за управление на риска: Организациите трябва да разработят и внедрят мерки за киберсигурност, които включват оценка и управление на риска.

  3. Санкции за неспазване: Неспазването на изискванията може да доведе до значителни глоби, които са пропорционални на нарушението.

  4. Докладване на инциденти: Организациите са задължени да докладват значителни киберинциденти в рамките на 24 часа.

Транспониране на NIS2 в Законът за киберсигурност 

България е задължена да транспонира NIS2 в националното си законодателство до октомври 2024 г., като основният инструмент за това ще бъде актуализацията на Закона за киберсигурност. Този процес включва няколко ключови промени, които целят да осигурят по-висока устойчивост на критичните инфраструктури и услуги срещу кибератаки.

Ключови аспекти на транспонирането:

  • Разширяване на обхвата на Закона за киберсигурност : Новите категории организации, които ще попаднат под регулацията, включват доставчици на цифрови услуги, средни и малки предприятия в определени сектори (например транспорт, енергетика и здравеопазване), както и организации, предлагащи услуги, свързани с управление на отпадъци и хранителна индустрия.

  • Задължителни обучения на персонала: Новото законодателство изисква от организациите да провеждат регулярни обучения за своите служители, насочени към разпознаване и реакция на киберзаплахи. Тези обучения ще трябва да включват практическа подготовка, сценарии за симулирани атаки и управление на реални инциденти.

  • Повишаване на капацитета за контрол: Компетентните органи, като Държавната агенция „Електронно управление“, ще получат разширени правомощия за извършване на проверки и одити, както и за налагане на санкции при неспазване на изискванията. Ще бъдат създадени и специализирани екипи за мониторинг и реакция на инциденти.

  • Въвеждане на нови механизми за докладване: Организациите ще трябва да подават доклади за инциденти в рамките на строго определени срокове (обикновено до 24 часа след идентифицирането на проблема), като това включва предоставяне на пълна информация за естеството на инцидента, предприетите мерки и потенциалното въздействие.

Прогресът в транспонирането: Процесът на транспониране включва обществено обсъждане, създаване на правна рамка и обучение на ключови заинтересовани страни. Очаква се законодателството да бъде финализирано в съответствие с крайния срок, за да се осигури безпроблемно интегриране на NIS2 в българската правна система.

За актуална информация относно развитието на законодателството, препоръчваме да следите публикациите в Държавен вестник, както и изявленията на Народното събрание и Държавната агенция „Електронно управление“.

 

Как организациите могат да се подготвят за НИС 2?

1. Оценка на съответствието: Организациите трябва да извършат анализ на дейностите си, за да установят дали попадат в обхвата на NIS2. Необходимо е да се идентифицират критичните услуги и уязвимости в информационните системи.

2. Разработване на план за действие:

  • Въвеждане на политика за управление на риска.

  • Определяне на конкретни отговорности на служителите за киберсигурността.

3. Обучения за внедряване на НИС 2:

Обученията са основен елемент за ефективното внедряване на мерките по НИС 2. Курсовете могат да включват теми като:

  • Разпознаване и управление на киберрискове.

  • Реагиране на инциденти и докладване.

  • Технологични решения за киберзащита.

4. Експертна подкрепа от консултанти: 

Консултантските услуги могат да помогнат при оценка на риска и разработване на стратегия за съответствие.

Значението на обученията по НИС 2

Обученията по НИС 2 предоставят на организациите практически знания за изпълнение на новите изисквания. Те включват реални примери и добри практики за предотвратяване на инциденти. Освен това, те помагат на служителите да бъдат подготвени за различни сценарии на киберзаплахи.

В България се предлагат специализирани курсове, които обхващат всички аспекти на директивата, като управление на риска, използвани технологии и правни аспекти.

Законът за киберсигурност и Директивата НИС 2 са основополагащи за създаването на сигурна и устойчива цифрова екосистема в ЕС и България. Подготовката за тези регулации не само ще гарантира спазването на законодателството, но също така ще помогне на организациите да укрепят защитата на своите данни и инфраструктура.

Инвестицията в обучения и внедряването на съвременни мерки за киберсигурност ще бъде ключов фактор за успеха в съвременната цифрова среда.

киберсигурност фишинг социално инженерство инфраструктура услуги хакери фирмена сигурност лични данни кибер хигиена обучение киберсигурност

Нашата мисия е да осигурим сигурност в дигиталния свят. Ние се ангажираме с подсилването на защитата и непрекъснатото обучение на нашите клиенти, за да бъдат винаги една крачка пред опасностите.

Copyright © blackhat.bg All Rights Reserved