Директивата Network and Information Security 2 (NIS2) е естествено продължение на Директивата NIS, която цели повишаване на нивото на сигурност в киберпространството в целия ЕС и уеднаквяване на стандартите за всички страни-членки. Разширявайки обхвата на сектори, NIS2 включва в себе си два вида субекти – съществени и важни, в които вече попада и хранително-вкусовата промишленост по цялата верига на доставки. В рамките на 21 месеца, вече приетата директива ще се транслира в националното ни законодателство и ще въведе изисквания за мрежова и информационна сигурност за компаниите в индустрията, включително производители, доставчици и търговци на месо и месни продукти.
Практическите измерения и значение на Директивата за сектора могат да се обобщят в 9 конкретни мерки, които вече са застъпени.
Анализ на риска и политики за информационна сигурност
Последните няколко години преобърнаха тенденциите в хакерските атаки. Докато по-рано основен таргет на злонамерените групировки бяха финансовите къщи, то днес това не е така и има няколко причини за тази тенденция. Производственият сектор се оказа удобна цел поради две причини – през тези компании минават големи обороти и те рядко отделят средства за ИТ сигурност. Именно поради нарасналият риск е важно компаниите в сектора да инвестират средства в подобряване на тяхната сигурност.
Обработка на инциденти
В Директивата е прието, че даден инцидент се счита за значим ако е причинил или има потенциал да причини значителни оперативни смущения или финансови загуби за съответния субект. Компаниите ще бъдат задължени да докладват инцидентът в рамките на 24 часа към местния орган (СЕРТ) и да предоставят информация. За регистрацията на подобни инциденти е важно компаниите да се подготвят с различни инструменти за отчиатенето им като Security Operations Center. Повече за него може да прочетете тук.
Непрекъснатост на бизнеса и управление при кризи
За да не изпитва прекъсване в случай на човешка грешка или природно бедствие, пряко увреждащи ИТ системите, организациите ще трябва да имат подсигурено място, където моментално да възстановят данни, информация и системи, за да продължат дейността си.
Сигурност на веригата за доставки
Практически, това означава, че един производител ще изисква от свои доставчици покриване на набор от мерки за сигурност, както и от него ще се изисква същото. В това число влизат търговски вериги, доставчици на суровини, дистрибутори и всички участници. Повече за увеличаващият се натиск върху веригата за доставки може да прочетете тук.
Сигурност на мрежови и информационни системи (вкл. разкриване на уязвимости)
Два инструмента ще послужат на компаниите за разкриването на уязвимости и сигурността на ИТ системите – Оценка на уязвимостите (т.нар. Vulnerability Assessment – автоматизирано откриване на уязвимости) и Pentesting (атака срещу Вашата ИТ система от добронамерен хакер).
Политики и процедури за оценка ефективността на мерките за управление на риска за киберсигурност
Компаниите ще трябва да прибегнат до външни одити от специалисти, които да оценят дали приложените мерки работят спрямо Директивата. Освен това, тези политики и процедури ще трябва да съответстват на особеностите на всяка организация в зависимост от нейните стандартни процеси, големина, обем на работа и т.н.
Използване на криптография и криптиране
Задължително ще стане използването на сигурен, криптиран VPN, което постепенно ще еволюира в нови технологии (като тази на zero-trust). Диаматикс вече имплементира Zero Trust решение, като за технологията на ZTNA на Fortinet може да изгледате тази кратка лекция от Питър Нютън, Старши директор Продукти и Решения, Фортинет тук.
Обучения и тренинги
С цел подобряване на ИТ културата и хигиената, компаниите трябва да инвестират в обучения на персонал и мениджмънт. Диаматикс предлага обучения за организации като информация може да откриете на този линк.
Санкции
Количествено определени и персонални към ръководството на организацията. Ще бъдат наложени отговорности и на „органите за управление“ да одобряват мерки за киберсигурност, да контролират тяхното прилагане.
За да помогне в направлението киберсигурност, Диаматикс предлага на компаниите, заинтересовани в оценка на текущото си състояние т.нар. Basic Cybersecurity Evaluation Program. В тази програма даваме възможност на организациите да получат компетентна оценка на базисното си състояние в трите основни домейна – Хора, Процеси, Технологии. След провеждането на разговора по специализирания въпросник, компаниите получават цялостен доклад, в който фигурират анализ и препоръки за подобряване на сигурността.
Компаниите попадащи в обхвата на Директивата могат да започна подготовка подобрявайки своите основи е на мрежова и информационна сигурност и постепенно да надграждат на решенията. Това ще спомогне за избягването на големи капиталови разходи в кратко време, които ще дадат по-голяма гъвкавост. Решенията на Диаматикс са насочени към изграждане на цялостни решения за киберсигурност, които имат своята пълна приложимост към директовата NIS2. Може да се свържете с нас на sales@diamatix.com, за да разберете повече.