Компании са изправени пред огромни глоби и дори затваряне с новите кибер правила на ЕС

Компании, работещи на територията на Европейския съюз, могат получат сериозни глоби или дори да бъдат принудени да спрат дейност съгласно новите разпоредби за киберсигурност, които трябва да влязат в сила следващия месец.

Директивата на ЕС за киберсигурност (NIS 2) ще стане приложима от държавите членки на 17 октомври. Това означава, че фирмите ще трябва да гарантират, че дейностите им са в съответствие със задълженията, определени от новия закон.

Правилата налагат по-строги изисквания към компаниите относно тяхната вътрешна стратегия за киберустойчивост и вътрешни практики.

CNBC разглежда всичко, което трябва да знаете за NIS 2 – от това, което законът изисква до потенциалните санкции, които бизнесът може да понесе за евентуални нарушения.

Какво е NIS 2?

NIS 2, което означава Директива 2 за мрежова и информационна сигурност, има за цел да повиши сигурността на IT системите и мрежите в целия Блок. Представена през 2020 г., тя служи като актуализация на по-ранната директива, наречена просто NIS.

NIS 2 разширява обхвата на своя предшественик, за да отговори на по-новите предизвикателства и заплахи за киберсигурността, които се появиха, когато престъпниците откриха нови начини да хакнат компании и да компрометират техните чувствителни данни.

Директивата се прилага за организации, които работят в рамките на ЕС и предоставят основни услуги на потребителите, включително банки, енергийни компании, здравни институции, интернет доставчици, транспортни фирми и комунални компании.

Основните области, в които ще се занимава, са управление на риска, корпоративна отчетност, задължения за докладване и планиране на непрекъснатостта на бизнеса в случай на киберпробив.

Герт ван дер Линден, изпълнителен вицепрезидент на глобалните услуги за киберсигурност в Capgemini, каза пред CNBC, че NIS 2 на практика е поставила нова базова линия за компаниите относно това какво е приемливо за защита на гражданите, поддържане на операции и запазване на устойчивостта при кибератаки.

NIS 2 ще се разглежда като глобален стандарт от съдиите“, когато стане приложим, добави Ван дер Линден. „За нашите клиенти, независимо дали се разглеждат като съществени или важни по регламента, те трябва да разгледат тази базова линия и да се уверят, че са в съответствие.“

Като изпълнят тази базова линия, компаниите ще се защитят ефективно срещу искове, добави Ван дер Линден. Той го сравни със сключването на застраховка на дома, за да защитите къщата си от крадци.

Къде отиват крадците? Винаги в най-слабо защитената къща. Те проверяват всяка врата, за да видят къде могат да влязат“, каза той. Същото остава вярно и за компаниите, които искат да се защитят от кибератаки, добави Ван дер Линден.

Съгласно NIS 2 фирмите ще трябва да проверяват своите дигитални вериги на доставки за киберзаплахи и уязвимости. Компаниите днес използват множество различни продукти и инструменти всеки ден, давайки на престъпниците повече потенциални пътища за атака.

Крис Гоу, ръководител на екипа за публична политика на Cisco в ЕС, каза пред CNBC, че ще се проведе „опит за картографиране“ в рамките на NIS 2, където компаниите трябва да сканират своите доставчици на технологии, за да оценят всички потенциални рискове.

Бизнесът също така ще има „задължение за грижа“ да докладва и споделя информация за киберуязвимости и хакове с други компании съгласно NIS 2 – дори ако това означава да се признае, че е жертва на киберпробив.

Какво става, ако една компания не изпълни изискванията?

Компаниите, които не спазват новия закон, са заплашени от огромни потенциални глоби, заедно с други наказателни действия.

За субекти, които се считат за основни, като транспортни, финансови и водоснабдителни компании, неспазването на NIS 2 може да доведе до глоба до 10 милиона евро или 2% от глобалните годишни приходи – което в крайна сметка е по-високата сума.

Междувременно компаниите, които се считат за основни, като хранителни компании, химически фирми и услуги за управление на отпадъците, са изправени пред глоби до 7 милиона евро или 1.4% от глобалните си годишни приходи за неспазване.

Фирмите също могат да бъдат изправени пред възможни спирания на услугата, ако не спазват NIS 2, както и по-строг надзор, за да се види дали са спазили изискванията.

Ако даден бизнес стане жертва на киберпробив, той ще има 24 часа, за да изпрати уведомление до властите. Това е доста по-кратък срок от 72-часовия времеви прозорец, който фирмите имат за уведомление на властите за нарушение на сигурността на данните съгласно GDPR (Общ регламент за защита на данните).

Подготовката за NIS 2 не е състезание, в което да търсите как да се измъкнете, по-скоро това е състезание, в което най-силните организации се състезават над базовата линия и използват това усилие за конкурентно предимство“, каза Карл Леонард, стратег за киберсигурност за EMEA за Proofpoint.

„Предвиждам, че организациите ще бъдат по-добре подкрепени чрез усилия, координирани на ниво Европейски съюз“, каза Леонард. „Това ще включва споделена информация за заплахите, по-високо общо ниво на киберсигурност и манталитет „в това сме заедно“.

Готови ли са фирмите?

Бизнесът се надпреварва да приведе вътрешните си процеси и контроли, както и по-широката култура около киберсигурността, в съответствие преди крайния срок 17 октомври.

Гоу от Cisco каза, че дори и без заплахата от надвиснала нова регулация, фирмите работят усилено, за да променят културата си вътрешно, за да гарантират, че приемат сериозно заплахата от киберпробиви и инциденти с прекъсвания.

Дори настрана от това, което се случва от регулаторна гледна точка, виждаме, че докладването се извършва от ниво CISO (главен служител по информационна сигурност) до Борда на директорите и ръководството.“

Той обаче добави, че NIS 2 кара бизнеса да действа по-бързо, за да ускори своите киберконтроли и практики с новите правила.

Определено има въздействие“, каза той. „Лично аз го виждам. Хората отвътре идват с въпроси – от продажбите и ръководството – питайки: „Как се отразява това върху нас?“ Той добави, че има „подготовка, която трябва да се направи веднага“ за бизнеса, за да се гарантира, че отговарят на изискванията на NIS 2.

И все пак, дори когато киберсигурността е много по-виден фокус в заседателните зали, това не е спряло кибератаките.

По-рано тази година атака с ransomware срещу Synnovis, частен доставчик на здравни услуги в Обединеното кралство, затрудни повече от 3000 прегледа в болници и лични лекари. Нападателят, базирана в Русия хакерска група, наречена Qilin, поиска откуп от 40 милиона паунда.

Гоу каза, че би било грешка да се приеме, че новата регулация може да предотврати подобни инциденти да се случват в бъдеще, но добави, че NIS 2 е помогнала за „създаване на известен контрол и фокусиране на ресурсите около демонстриране на това как ще вдигнете общите нива на сигурност“.