Киберсигурност в Европа
Директивата NIS2
RISK electronics
03.01.2025
Представяне на директивата Network and Information Security 2, нейните цели и значимост
за сигурността на мрежите
и информацията в ЕС
• Какво е NIS2?
• Причини за въвеждането на NIS2
• Основни цели на NIS2
• Съществени и важни субекти
• Ключови сектори в обхвата на NIS2
• Разширен обхват на NIS2 спрямо NIS
• Основни задължения на организациите
• Докладване на инциденти
• Санкции за неспазване
• Ролята на държавите членки
• NIS2 и корпоративната култура
• Предизвикателства при внедряването
• Бъдещето на NIS2
• Кои сме ние?
• Изпълнени проекти
Съдържание
Какво е NIS2?
Второто поколение на Директивата за мрежова и информационна сигурност (NIS), чиято цел е усъвършенстване на киберсигурността чрез по-строги изисквания и разширен обхват.
Приета през декември 2022 г., като реакция на нарастващите кибер заплахи.
Държавите членки
трябва да транспонират NIS2 в националното законодателство
до 18 октомври 2024 г.
• 2023
• 2024
• 2025
В началото на 2025 г. Република България все още не е приела изменения на националното законодателство за синхронизиране с NIS2
Причини за въвеждането на NIS2
Нужда от подобрение на взаимодействието между държавите членки
Критичните инфраструктури стават все по-уязвими
Подобряване на защитата на гражданите и бизнеса от киберпрестъпления
Дигитализацията увеличава повърхността за атаки
Основни цели на NIS2
Усъвършенстване на националните и международните механизми за координация
Повишаване на осведомеността за кибер рискове
Намаляване на броя и въздействието на инцидентите
Подобряване на устойчивостта на организациите чрез засилване на мерките за сигурност
Три основни стълба на NIS2
Сътрудничество
и обмен на информация
• Cooperation Group
• CSIRTs Network
• CyCLONe
• CVD and European Vulnerability registry
• Peer-reviews
• Двугодишен доклад на ENISA за киберсигурността
3
Управление
на риска
• Отговорност на висшето ръководство за неспазване на изискванията
• От съществените и важните субекти се изисква да предприемат мерки за сигурност
• От субектите се изисква да уведомяват за инциденти в рамките на определен срок
2
Отговорност на държавите членки
• Национални компетентни органи
• Национални стратегии
• Процедури за CVD (Coordinated Vulnerability Disclosure) – рамка за координирано разкриване на уязвимости, която насърчава отговорното споделяне на информация за уязвимости между изследователи, организации и други заинтересовани страни
• Рамки за управление на кризи
1
Три основни стълба на NIS2
Сътрудничество
и обмен на информация
• Cooperation Group
• CSIRTs Network
• CyCLONe
• CVD and European Vulnerability registry
• Peer-reviews
• Двугодишен доклад на ENISA за киберсигурността
3
Управление
на риска
• Отговорност на висшето ръководство за неспазване
на изискванията
• От съществените и важните субекти се изисква
да предприемат мерки за сигурност
• От субектите се изисква да уведомяват за инциденти
в рамките на определен срок
2
Отговорност на държавите членки
• Национални компетентни органи
• Национални стратегии
• Процедури за CVD (Coordinated Vulnerability Disclosure) – рамка за координирано разкриване на уязвимости, която насърчава отговорното споделяне на информация за уязвимости между изследователи, организации и други заинтересовани страни
• Рамки за управление на кризи
1
Три основни стълба на NIS2
Сътрудничество
и обмен на информация
• Cooperation Group
• CSIRTs Network
• CyCLONe
• CVD and European Vulnerability registry
• Peer-reviews
• Двугодишен доклад на ENISA за киберсигурността
3
Управление
на риска
• Отговорност на висшето ръководство за неспазване на изискванията
• От съществените и важните субекти се изисква да предприемат мерки за сигурност
• От субектите се изисква да уведомяват за инциденти в рамките на определен срок
2
Отговорност на държавите членки
• Национални компетентни органи
• Национални стратегии
• Процедури за CVD (Coordinated Vulnerability Disclosure) – рамка за координирано разкриване на уязвимости, която насърчава отговорното споделяне на информация за уязвимости между изследователи, организации и други заинтересовани страни
• Рамки за управление на кризи
1
Съществени и важни субекти
Субектите могат да бъдат определени като „съществени“ или „важни“ в зависимост от фактори като размер, сектор и критичност.
Големите и средни предприятия в обхванатите от NIS2 сектори задължително попадат в изискванията на директивата.
250+
служители
€50 000 000
оборот
ГОЛЕМИ
ПРЕДПРИЯТИЯ
50+
служители
€10 000 000
оборот
СРЕДНИ ПРЕДПРИЯТИЯ
ВНИМАНИЕ
Държавите членки могат да идентифицират „малки“ по големина субекти с висок рисков профил или когато са единствен доставчик на услуги.
Разликата между „съществени“ и „важни“ субекти в NIS2 се определя най-вече от критичността на сектора.
Ключови сектори в обхвата на NIS2
Приложение 1 – Сектори с висока степен на критичност:
Електричество,
нефт, газ
Болници, медицински лаборатории, фармацевтика
Банки, платежни услуги, застраховане, инфраструктура на финансови пазари
Доставка и управление на питейна вода, отпадъчни води
Авиация, морски
и железопътен транспорт
Управление на услуги в областта на ИКТ, публична администрация
Енергетика
Здравеопазване
Финансови услуги
Водоснабдяване
Транспорт
Цифрова инфраструктура
Ключови сектори в обхвата на NIS2
Приложение 2 – Други критични сектори
Научни изследвания
Производство, преработка
и разпространение на храни
Пощенски и куриерски услуги
Управление на отпадъците
Производство, изготвяне
и дистрибуция на химикали
Разширен обхват на NIS2 спрямо NIS
Включване на повече видове доставчици на услуги, включително доставчици
на дигитални услуги
и технологични платформи
Нововъведения
Големи и средни предприятия с критична роля също попадат под обхвата
Възможност за адаптиране към нововъзникващи сектори
Основни задължения
на организациите
Идентификация
и оценка на рисковете за сигурността
Внедряване
на технически
и организационни мерки за намаляване
на рисковете
Докладване
на инциденти
в рамките на 24 часа след установяване
Провеждане
на редовни одити
и тестване
на системите
за сигурност
Идентифициране и класифициране на инцидента
Съобщаване на компетентния орган в рамките на 24 часа
Детайлен доклад за мерките, взети за смекчаване на въздействието
Анализ на причините за инцидента и препоръки за избягване на бъдещи случаи
Докладване на инциденти
Основни етапи
Идентифициране и класифициране на инцидента
Съобщаване на компетентния орган в рамките на 24 часа
Детайлен доклад за мерките, взети за смекчаване на въздействието
Анализ на причините за инцидента и препоръки за избягване на бъдещи случаи
Санкции за неспазване
€10 000 000
или
2%
от глобалния
годишен оборот
Съществени
субекти
ВАЖНО
Санкциите не се дължат
на настъпил инцидент,
а при неспазване на задълженията
от субектите!
АДМИНИСТРАТИВНИ САНКЦИИ
В случай на неспазване на изискванията
€7 000 000
или
1,4%
Важни
субекти
в зависимост от това
коя от двете суми е по висока
РЕПУТАЦИОННИ ЗАГУБИ
Публично обявяване
на нарушенията
Възможност за ограничаване или прекратяване на дейността
Ролята
на държавите членки
Създаване на национални стратегии за киберсигурност
Назначаване на компетентни органи за мониторинг
Подобряване на капацитета за разследване и отговор на инциденти
Укрепване на международното сътрудничество в рамките на ЕС и извън него
Европейски координационен механизъм
Укрепване на взаимодействието между държавите членки чрез регулярни срещи и обмен на информация
Подробности:
Организиране на симулации и учения за оценка на готовността
Подкрепа за трансгранични операции и разследвания
NIS2 и корпоративната култура
Внедряване на култура
на киберсигурност
във всички нива
на организацията
Препоръки:
Обучение на служители
за разпознаване на заплахи
Създаване на вътрешни политики за управление
на инциденти
и непрекъснатост
на бизнеса
Предизвикателства при внедряването
Разходи за внедряване: Възможности за субсидии
от ЕС
Проблеми и решения:
Липса на експерти:
Създаване на програми
за обучение
Хармонизация на законодателствата: Интеграция чрез общоевропейски рамки
Ключови етапи във внедряването
Подготовка:
Анализ на текущото състояние
Подробности:
Планиране:
Разработка
на стратегии
и политики
Внедряване:
Технически
и организационни мерки
Мониторинг
и оценка:
Редовни одити, проверки и корекции
Бъдещето на NIS2
По-ефективна защита на критичните инфраструктури
Очаквани резултати:
Повишена осведоменост
за киберзаплахите
По-добра интеграция
и сътрудничество
в рамките на ЕС
Извод
NIS2 представлява ключова стъпка за подобряване
на киберсигурността в ЕС
Изисква сътрудничество между държавите членки, организациите и гражданите.
Кои сме ние?
IT компания с повече от 30 години опит
Една от първите ИТ компании в България, зад чието име стои стратегически подход в консултирането и иновационен в създаването на ИТ решения, инфраструктури и цялостни бизнес процеси.
РИСК Електроник е фирма с 34 годишна история. Като един от първите системни интегратори
на българския ИТ пазар претърпява целенасочено развитие и трансформация преди 10 години като запазва традиционното си направление – „Сървъри
и ИТ инфраструктура“ и развива още 5 нови, сред които и това за „Информационна сигурност“.
Кои сме ние?
IT компания с повече от 30 години опит
Като водещ системен интегратор ние сме установили процеси и структури, необходими за поддържане на специфичните нужди на клиентите ни по места.
В изграждането на деловите ни взаимотношения, работата ни се характеризира с индивидуален подход към всеки от нашите кленти и партньори.
Кои сме ние?
IT компания с повече от 30 години опит
Подробно описание на подхода и технологичните решения, които предлага можете да видите в електронната брошура, представяща дейността на сайта на компанията
https://www.risk.bg/bg/obst-pregled-isig
Кои сме ние?
IT компания с повече от 30 години опит
РИСК Електроник ООД е надежден партньор
за успешно прилагане на мерките, изисквани
от Директивата НИС 2. Нашата мисия е да осигурим защитата на вашите критични процеси и информация, като предлагаме персонализирани решения, които гарантират съответствие
с най-високите стандарти.
Нашите силни страни
Опит и експертиза:
Екипът ни е съставен от сертифицирани професионалисти
с доказан опит
в киберсигурността, оценката на риска
и консултирането
на различни
индустрии.
Изпълнени проекти:
Успешно сме реализирали стотици проекти за компании
в критични сектори като държавна администрация, образование, енергетика, транспорт и финанси
и много други.
Доволни клиенти:
Множество организации
в България вече
ни се довериха
за подобряване
на тяхната киберустойчивост.
Персонализиран подход:
Вярваме, че всяка организация
е уникална. Нашите решения са съобразени с вашите специфични нужди и бизнес цели.
Какво предлагаме?
Внедряване на мерки за съответствие:
Ние ще анализираме текущото състояние на вашата организация
и ще приложим необходимите мерки
за пълно съответствие
с директивата НИС 2.
Одити и оценки на риска:
Провеждаме детайлни одити,
за да идентифицираме слабите места и рисковете в сигурността, като предоставяме конкретни препоръки
за подобрение.
Консултиране на ръководството:
Помагаме на вашия управленски екип да вземе информирани решения, свързани със сигурността и устойчивостта
на организацията.
Създаване на вътрешни процедури и правила:
Изготвяме персонализирани политики, процедури и насоки за ефективно управление на информационната сигурност.
Обучения и повишаване на осведомеността:
Провеждаме специализирани обучения за Вашия екип, за да гарантираме дългосрочна устойчивост и защита.
Какво предлагаме?
Внедряване на мерки за съответствие:
Ние ще анализираме текущото състояние на вашата организация
и ще приложим необходимите мерки
за пълно съответствие
с директивата НИС 2.
Одити и оценки на риска:
Провеждаме детайлни одити,
за да идентифицираме слабите места и рисковете в сигурността, като предоставяме конкретни препоръки
за подобрение.
Консултиране на ръководството:
Помагаме на вашия управленски екип да вземе информирани решения, свързани със сигурността и устойчивостта
на организацията.
Създаване на вътрешни процедури и правила:
Изготвяме персонализирани политики, процедури и насоки за ефективно управление на информационната сигурност.
Обучения и повишаване
на осведомеността:
Провеждаме специализирани обучения за Вашия екип, за да гарантираме дългосрочна устойчивост и защита.
Защо да изберете нас?
Специализирани компетенции: Разполагаме с дълбоки познания
за изискванията на Директивата НИС 2 и приложимите регулации. Комбинираме иновативни технологии и доказани методологии,
за да постигнем максимална ефективност
Отношение към детайла: В изпълнението на всяка задача работим
с висок приоритет и с ангажиран достатъчен човешки и технически ресурс.
Прозрачност и коректност: Чрез солидна основа от опит и богато разнообразие от услуги в енергийната сфера, ще бъдем ваш сигурен партньор, гарантирайки качество, гъвкавост и професионализъм
в дейностите, които предлагаме.
Гъвкавост и адаптивност: Ние отчитаме спецификата на всяка задача
и адаптираме дейностите си към изискванията на нашите клиенти.
Изпълнени проекти
Внедряване на мерки за повишаване на нивото на мрежовата
и информационната сигурност в БНТ, включително доставка
и интеграция на технически средства за реализацията им
БНТ
Дейност
Включва доставка, инсталиране, конфигуриране, внедряване
и пускане в експлоатация на софтуерни системи и тестова среда, както и необходимия за функционирането им хардуер, чрез които да се повиши нивото на мрежовата и информационната сигурност в БНТ
• доставка на софтуер и изграждане на система за информация и управление на събитията във връзка със сигурността тип "Security information and event management" (SIEM)
• доставка на софтуер и изграждане на система за мрежов контрол тип "Network access control" (NAC)
• доставка на софтуер и изграждане на система за сигурност и защита на електронната поща
• доставка на софтуер за защитна стена за уеб приложения тип "Web application firewall" (WAF)
• доставка и инсталиране на антивирусен софтуер от следващо поколение тип "Next-generation antivirus" (NGAV) с включено действащо откриване и реакция "Endpoint Detection and Response" (ЕDR)
• доставка на софтуер за архивиране и възстановяване
• доставка на хардуер необходим за осигуряване на виртуална среда
• доставка на хардуер за осигуряване на тестова среда и среда тип „пясъчник“
Изпълнени проекти
БНТ
Създаване на нови и актуализиране на съществуващи политики, вътрешни правила, процедури и планове, определящи мерките за постигане на основните цели на мрежовата и информационната сигурност и обучение на лицата, отговорни за прилагането на тези мерки, наричани за краткост „Услугите“
Дейност
Цялостно обновяване на мрежова инфраструктура на телевизията
Дейност
Изпълнени проекти
Изграждане на безжична комуникационна мрежа
Център за градска мобилност, София
Дейност
Доставка и интеграция на система
за измерване на температура и влажност
Дейност
Одит на технологичната обезпеченост на информационните системи
Дейност
Целта на одита е да оцени доколко използваните към момента технологични средства в ИС на „ЦГМ“ ЕАД осигуряват защита
на данните и информационните активи от нерегламентирано изменение, кражба или унищожаване, като същевременно гарантират достъпността и използването им от служителите и ръководството.
Изпълнени проекти
Тестване на сорс кода на новосъздаден Web-Application портал и динамична проверка за сигурността му
Прокредит Банк
Дейност
Извършване на одит на мрежовата и информационната сигурност на информационните системи, използваните информационни технологии и технически средства
Дейност
Тестване на нововъведен Single Sign On (SSO) механизъм, обвързващ нов Web-Application Portal с онлайн банкирането „ПроБ@нк“.
Дейност
Поддръжка на място на клоновете и централно управление
с окабеляване, настройка и подмяна на техника, включително
и на мрежово оборудване
Дейност
Изпълнени проекти
за интелигентна защита на крайните точки,
3000
3000
50
броя
броя
броя
за защита на електронна поща и
за защита на мобилни устройства
Агенция по заетостта
Доставка, инсталация,
настройване и поддръжка
Дейност
Изпълнени проекти
Извършване на анализ на съществуващите дигитални процеси в БНР и представяне на доклад за възможностите за автоматизация на дигиталните процеси в БНР
Българско национално радио
Дейност
Доставка, настройка и изграждане
на автоматизирана система
за управление на чакащи потребители, функционираща във всички териториални дирекции и офиси в страната
Национална агенция
за приходите
Дейност
Изпълнени проекти
Извършване на проверка на сигурността на информационните системи, инфраструктура и услуги на „Софийска вода“ АД
Софийска вода
Дейност
Проверката включва провеждане на тестове за откриване
на уязвимости и слабости в корпоративната мрежа, мрежови устройства, инфраструктурни услуги и сървърната инфраструктура на „Софийска вода“ АД. Проведени са вътрешни тестове, насочени към системите, устройствата и външни тестове за услугите достъпни от Интернет, с прилагане на метода "Black box testing".
Одит за извършване на анализ за съответствието с изискванията на Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета относно мерки за високо общо ниво на кибер сигурност в Съюза (NIS2)
ВиК Бургас
Дейност
Изпълнени проекти
Клъстер за високо-
производителни изчисления
ИФТТ към БАН
81 СУ „Виктор Юго“
Изграждане на безжична комуникационна мрежа
Университет „Проф. Асен Златаров“, Бургас
Сървърни системи
и оборудване
Информационна инфраструктура
Столична община
Подновяване на мрежова инфраструктура
болница Аджибадем
Система за управление
на обслужването
Национален осигурителен институт, София и Хасково
Изпълнени проекти
Изграждане на мрежова инфраструктура
Британско училище София
CREFECO, София
Инсталация на видео-
конферентно решение
Корпоративна комуникация в централата на Теленор
Дигитална медия
Освен вече изброените проекти, нашият екип е реализирал успешно стотици други, затвърждавайки репутацията ни на надежден
и иновативен партньор. С професионализъм, гъвкавост и високо качество на изпълнението, ние постоянно разширяваме портфолиото си и удовлетворяваме нуждите на различни клиенти в широк спектър от индустрии.
Благодарим!
03.01.2025