Mедия за бизнес, лидерство, технологии и иновации, вдъхновени от хората, базирани на науката и реализирани в полза на човечеството – бъдете окрилени от знание за прогрес!

Кого ще засегне новата европейска директива за киберсигурност NIS2?

отБоряна Попова
февруари 7, 2025
4 minute read
Кого ще засегне новата европейска директива за киберсигурност NIS2

Ще повлияе ли тя на възможностите за използване на софтуер от вторичния пазар?

Директивата NIS2 (Network and Information Security) беше одобрена от Европейския съюз през декември 2022 г. и всяка страна от ЕС следваше да я приложи до 18 октомври 2024 г. Но директивата все още не е транспонирана и въведена в местното законодателство на много държави-членки на ЕС.

NIS2 – кой е засегнат?

Новото законодателство обхваща десетки хиляди компании в целия Европейски съюз, като внася значителни промени в начина, по който се управлява киберсигурността в публичния и частния сектор.

За разлика от своя предшественик – първата директива за мрежова и информационна сигурност – новата версия обхваща публичната администрация, хранителния сектор, индустрията и управлението на отпадъците, както и други сектори.

Директивата дефинира два типа субекти:

  • Основни субекти с най-широк спектър от отговорности.
  • Важни субекти, които трябва да отговарят на по-малко строги изисквания, но също подлежащи на регулация.

Като съществени субекти и важни субекти могат да се считат субекти от секторите, изброени в приложения I и II на директивата, които са най-малко средно предприятие (с персонал от най-малко 50 души или чийто годишен оборот надхвърля 10 милиона евро).

Включени са и други обекти, дефинирани от директивата NIS2, сред които:

  • субекти на публичната администрация;
  • субекти, определени като критични субекти съгласно Директива (ЕС) 2022/2557;
  • доставчици на обществени електронни съобщителни мрежи или на обществено достъпни електронни съобщителни услуги;
  • доставчици на квалифицирани удостоверителни услуги и регистри на имена на домейни от първо ниво, както и
  • доставчици на DNS услуги, независимо от размера им;
  • други субекти също могат да бъдат включени въз основа на националното законодателство.

Директивата изисква до 17 април 2025 г. всички държави-членки да създадат списъци с горепосочените субекти, които са в обхвата на новите разпоредби.

Препоръки на Michal Baudys, Public Sector Strategy Leader за пазарите от ЕС във Forscope

Когато се внедрява система за управление на киберсигурността, следва да се има предвид:

  • степента на риск
  • степента на предстоящите последици
  • наличния бюджет
  • целесъобразност.

NIS2 и софтуерът от вторичния пазар

Когато се избира следпродажбен софтуер, който често позволява оптимизиране на разходите до 70 процента от цената, в сравнение със закупуването на софтуера директно от производителя, следва да се имат предвид и няколко съображения за киберсигурност.

Тези съвети ще бъдат полезни не само в контекста на прилагане на разпоредбите на директивата NIS2, но и за сигурното управление на ИТ инфраструктурата в една организация като цяло.

Желателно е да се използва софтуер, чийто жизнен цикъл на продукта не е приключил. Това означава, че за такъв продукт производителят все още предоставя най-новите актуализации, в т.ч. и подобрената киберсигурност.

Този цикъл понякога продължава до десетина години, но винаги може да се потърси информация от софтуерен брокер за подробности и професионална помощ.

В най-добрия сценарий, избраният брокер ще предлага и разширен набор за поддръжка, включително техническа, лицензионна, за съответствие и правни услуги – подход, отразен в предложенията на надеждни компании като Forscope.

Forscope, най-големият софтуерен брокер в Централна и Източна Европа, предлага напълно лицензирани софтуерни решения посредством иновативен, ценово ефективен модел на придобиване на компании от всякакъв размер, както и на публични институции.

Компанията осигурява всеобхватен пакет от услуги, включително техническа поддръжка, както и правни и лицензионни съвети. Базирана в Чешката република,  Forscope оперира в 9 други държави от Централна и Източна Европа, сертифициран партньор на Microsoft и притежава сертификати ISO 9001:2015 и ISO 27001.

Жизненият цикъл на софтуера обикновено се състои от четири фази:

  1. Първата е пълна поддръжка, при която софтуерът получава всички актуализации – обхващащи както проблеми със сигурността, така и други области – и позволява заявки за промени в продукта или неговите функционалности от производителя.
  2. Втората е разширена поддръжка. Различава се от първата, главно защото вече не е възможно да се изискват промени в продукта или функционалността, тъй като вече не са налични актуализации, които не са свързани с киберсигурността. Други елементи, като актуализации за киберсигурност и достъп до поддръжка, остават същите.
  3. Третата е фазата след поддръжката. След това все още е възможно да използвате актуализации за киберсигурност за известно време, но само срещу допълнителна такса. В същото време това е последният момент да се огледаме за по-нов софтуер.
  4. Софтуер, който вече не се поддържа.

Алтернатива на фази три и четири може да включва използването на специални решения за подобряване на киберсигурността на софтуера, който вече не се поддържа от производителя. Тези решения могат също да бъдат препоръчани и предоставени от софтуерни брокери.

Следователно тези, които управляват ИТ инфраструктурата на организацията, трябва да не забравят редовно да инсталират корекции и актуализации, които могат да помогнат за предотвратяване на излагането на системите на атаки.

Препоръчително е да се използва проверен софтуер, предоставен от доверен брокер. Това е от съществено значение, тъй като на пазара има недобросъвестни компании, които предлагат само продуктови ключове без подходяща документация.

Незаконното закупуване на такъв софтуер увеличава риска от съдебни спорове, отговорност за вреди от нарушени права на интелектуална собственост и, в случай на инсталиране от непознати инсталационни файлове, риска от инсталиране на зловреден софтуер. Ето защо е изключително важно да изберете доверен доставчик.

Другите проблеми са универсални и се отнасят за всеки тип софтуер, но все пак си заслужава да бъдат споменати.

Препоръчително е да се избягва използването на прости, повтарящи се пароли, които атакуващите могат лесно да разкрият. Въпреки широко разпространените съвети да изберете парола с поне 8 знака, включително главни и малки букви, специални знаци и цифри, много по-добре е да изберете лесно запомняща се фраза като парола.

Значителното увеличаване на дължината на паролата увеличава общия брой възможни комбинации, а лесното запомняне намалява риска потребителят да запише паролата някъде. Това подчертава значението на редовното обучение на служителите относно рисковете за киберсигурността и мерките, необходими за тяхното смекчаване.

Редовното архивиране е от съществено значение, за да се избегне необратимата загуба на големи количества данни в случай на инцидент.

Физическата сигурност на инфраструктурата също трябва да бъде приоритет. Мениджърите трябва да гарантират, че достъпът до зоните, в които се намират ИТ системи, е строго контролиран и че цялата ИТ инфраструктура е защитена срещу кражби и саботаж.

Киберсигурността не се отнася само до ИТ, но и до физическа сигурност и образование.

Средствата, които могат да бъдат спестени чрез рентабилно закупуване на лицензи, могат да се използват за укрепване на физическата сигурност, обучение на потребителите или други инвестиции в ИТ сигурност.

Share
Share
Tweet
Share
Pin it
Share
Share
Автор
Боряна Попова
Боряна Попова има дълбок интерес към иновациите, изкуствения интелект, дигиталната трансформация и индустриалните технологии. Със задълбочен поглед върху технологиите и тяхното въздействие върху бизнеса, тя представя експертни анализи, практически насоки и задълбочени ревюта. В divna.Tech Боряна съчетава аналитичен подход с креативност, за да направи сложните технологични концепции достъпни и полезни. Тя следи развитието на AI, автоматизацията, смарт устройствата и новите бизнес модели, предоставяйки стратегически насочена информация за професионалисти, предприемачи и иноватори.
Total
0
Share
0
0
0
0