Кибератаките вече не са изолирани случаи, а част от ежедневната среда, в която работи бизнесът. Блокирани системи, изнудване с ransomware, изтичане на чувствителни данни – подобни сценарии засягат както големи компании, така и малки и средни предприятия. В отговор на тази тенденция държавата затяга правилата.
На 5 февруари тази година бяха приети изменения в Закона за киберсигурност, с които България въведе изискванията на европейската директива NIS2.
Ако досега законът обхващаше 8 сектора – основно критични инфраструктури, определени като жизненоважни за функционирането на обществото и икономиката – сега обхватът се разширява до 18 сектора. Това означава, че значително повече компании попадат под задължителна регулация.
Кои бизнеси вече са засегнати
Сред новодобавените и разширени области са пощенските и куриерските услуги, управлението на отпадъци, производството и дистрибуцията на химикали, както и хранителната индустрия. В обхвата влизат още производството на медицински изделия, компютри, електронни и оптични продукти, машини и оборудване, както и автомобилната индустрия.
Доставчиците на дигитални услуги – включително платформи за електронна търговия, облачни услуги и онлайн пазари – също попадат в новата рамка. Образователни институции са обхванати, когато извършват научноизследователска дейност от критично значение.
За много организации въпросът вече не е дали са засегнати, а как да се подготвят навреме и без да натоварят допълнително екипите и бюджета си.
Сложни текстове, кратки срокове
Комплексните текстове на евродирективите поставят фирмите пред предизвикателството бързо да се „гмурнат“ в дълбоките води на регулаторната материя. Освен че трябва да разберат обхвата и терминологията, те трябва да изградят реални процеси и технически мерки, които да отговарят на закона.
Изискванията не са формални. Законът налага регулярна оценка на риска, изграждане на вътрешни процедури и стриктни срокове за докладване на инциденти. При установяване на значим пробив организацията трябва да уведоми секторния CSIRT до 24 часа. В рамките на 72 часа се подава актуализация с първоначална оценка на въздействието и техническите детайли, а до един месец – финален доклад.
Това предполага предварително изградена система за мониторинг, ясно разпределени отговорности и обучени екипи. В противен случай спазването на сроковете се превръща в сериозно предизвикателство.
От оценка на риска до организационна готовност
Първата стъпка към съответствие е оценката на риска. Тя включва анализ на инфраструктурата, софтуера, облачните услуги и крайните устройства, както и преглед на вътрешните процеси и човешкия фактор. Остарели версии, неприложени актуализации, слаби конфигурации или липса на криптиране могат да се окажат критични уязвимости.
Наред с технологичните мерки, подготовката на служителите е ключова. Разпознаването на фишинг атаки, използването на многофакторна автентикация и ясните механизми за докладване на съмнителни действия са част от цялостната киберустойчивост.
Ролята на доверения технологичен партньор
В тази среда много компании търсят начин да улеснят процеса по съответствие. Когато разполагат с доверен технологичен партньор, те могат да делегират част от дейностите на експерти и да се фокусират върху основния си бизнес.
А1 предлага интегриран подход към постигане на киберустойчивост и съответствие с новите нормативни разпоредби. Решенията са структурирани в три основни пакета – „NIS2 – анализи, процеси, процедури“, „NIS2 – професионални услуги“ и „NIS2 – услуги за киберсигурност“.
Първият пакет е насочен към изграждане на основата – анализ на риска, дефиниране на вътрешни процеси и процедури и структуриране на управлението на сигурността. Вторият включва експертна подкрепа при внедряване на необходимите мерки и изграждане на организационна готовност. Третият обхваща технологични решения като Security Operations Center (SOC) с 24/7 наблюдение, Penetration тестове за идентифициране на уязвимости и Endpoint Protection за защита на крайните устройства от зловреден софтуер и ransomware.
Този модел позволява особено на малките и средни предприятия да постигнат съответствие с NIS2 по структуриран и предвидим начин, без да изграждат сложна вътрешна инфраструктура от нулата.
Повече регулация, повече устойчивост
Разширяването на Закона за киберсигурност поставя по-висока летва пред бизнеса. Но в същото време то създава възможност компаниите да изградят по-ясни процеси, по-добър контрол и по-високо ниво на доверие сред партньори и клиенти.
В условията на нарастваща киберпрестъпност устойчивостта вече не е лукс, а стратегическа необходимост. А навигирането в сложната регулаторна рамка става значително по-лесно, когато организациите разчитат на експертна подкрепа и интегрирани решения.
