Директива за МИС 2
Как ще се отрази на бизнеса и стъпки за постигане на съответствие
Директивата за МИС 2 е общоевропейско законодателство в областта на киберсигурността. В него се предвиждат правни мерки за повишаване на общото ниво на киберсигурност в ЕС.
Какво е МИС 2?
Правилата на ЕС в областта на киберсигурността, въведени през 2016 г., бяха предназначени да защитават критична инфраструктура от всички видове кибер заплахи в Европейския Съюз.
Новата директива, МИС 2, е стъпка напред спрямо предишната такава и допълнително разширява обхвата, създавайки всеобхватен стандарт за киберсигурност. Модернизира съществуващата правна рамка, за да бъде в крак с нарастващата дигитализация и постоянно развиващия се пейзаж на заплахите за киберсигурността.
Разширявайки обхвата на правилата за киберсигурност, така че да обхване нови сектори и субекти, допълнително подобрява устойчивостта и капацитета за реагиране при инциденти на публичните и частните субекти, компетентните органи и ЕС като цяло.
Директивата изисква от организациите и критичната инфраструктура да се придържат към по-строги задължения за сигурност и докладване. В сравнение с предишната директива, МИС 2 се прилага за по-широк кръг от организации и компании, и включва ключови контроли като:
-
въвеждане на партньорски проверки за подобряване на сътрудничеството и споделянето на знания за всички държави-членки
-
фокус върху нови области на интерес като:
-
верига за доставки
-
управление на уязвимости
-
кибер хигиена и други
-
-
създаване на по-строги задължения за докладване
преход към националното законодателство
преход към националното законодателство
Европейска директивa
GDPR
Европейска директива
МИС
Краен срок за национално изпълнение
Чернова
директива
МИС 2
Предложение директива
МИС 2
Споразумение
по директива
МИС 2
Влизане в сила на директива МИС 2
Краен срок за национално изпълнение
17 Октомври 2024
2016
2018
2020
2021
2022
2023
2024
Намерения
-
Изграждане на регулаторна рамка за киберсигурност
-
Единно приложение в ЕС
-
Ефективно управление на Европейско ниво
Цели
-
Дефиниране на ясни отговорности
-
Усилване устойчивостта на ЕС срещу заплахи
Отговорности
Управителните съвети на съществените и значими субекти могат да бъдат подведени под отговорност в случай на нарушения.
Санкции
В случай на нарушения, възможните санкции включват:
-
разкриване на аспекти от несъответствието, самоличност на отговорните лица, и др.
-
Прекратяване на сертификации и разрешителни
-
временна забрана за заемане на ръководни длъжности
Кой е длъжен да се съобразява с МИС 2
Съществени субекти
Значими субекти
Прагове:
> 250 служители
> 50М € оборот
> 43М € баланс
50 - 250 служители
10 - 50М € оборот
< 43М € баланс
Сектори:
Енергетика
(електричество, нефт, газ, топлина, водород)
Здравеопазване
(комунални услуги, лаборатории, фармацевтични продукти, научноизследователска и развойна дейност)
Транспорт
(въздушен, железопътен, воден, сухопътен)
Банки
Финансови пазари
Питейна вода
(производители & доставчици)
Дигитална инфраструктура
(доставчици на облачни услуги, DNS, услуги за центрове за данни и др.)
Управление на ИКТ услуги
Космос
Публична администрация
Пощенски услуги
Куриерски услуги
Управление на отпадъци
Химическа индустрия
Хранителна индустрия
Промишленост
(технологии, инженерство)
Дигитални услуги
(онлайн търговия, социални мрежи)
Научноизследователски дейности
Седем стъпки към успешното планиране
Разбиране на изискванията за МИС 2 и ISO 27001:
-
Запознайте се с директивата и нейните изисквания.
-
Използвайте ISO 27001 стандарта като основна рамка за изграждането на Система за Управление на Информационната Сигурност (ISMS).
Открийте правилния партньор, който да ви помогне да постигнете съответствие с директивата.
Направете анализ на текущото състояние, спрямо изискванията за постигане на съответствие:
-
Извършете задълбочена оценка на вашите съществуващи практики за киберсигурност и нивата на внедряване на ISMS.
-
Идентифицирайте всички пропуски между вашите текущи контроли и допълнителните изисквания на МИС 2.
Повишете информираността на ниво управителен съвет:
-
Необходима е ангажираност, повишаване на осведомеността и получаване на подкрепа от ръководството.
-
Необходимо разпределяне на ресурсите и осигуряването на екип по проекта.
Идентифицирайте специфични контроли от МИС 2 стандарта, които липсват във вашата ISMS:
-
Обърнете се към насоките и документите на МИС 2, за да идентифицирате специфичните контроли, които са уникални за съответствието с директивата.
-
Сравнете тези контроли със съществуващата ISMS рамка, за да определите зоните изискващи подобрение.
Подобрете вашия ISMS, за да отговори на изискванията на МИС 2:
-
Модифицирайте и разширете вашата съществуваща ISMS рамка, като включите идентифицираните контроли от МИС 2.
-
Приложете допълнителни мерки и процедури, за изпълнението на уникалните изисквания на директивата.
Автоматизирайте процесите и контролите за сигурност:
-
Използвайте инструменти и технологии за автоматизация, за да рационализирате и подобрите вашите практики за киберсигурност.
-
Използвайте системи за автоматизирано наблюдение, откриване на заплахи и реагиране при инциденти, за да подобрите ефективността и точността при изпълнение.