Законът за киберсигурност 2024 (МИС2) акцентира върху персоналната отговорност
Законът за киберсигурност 2024, базиран на Директива МИС 2, като законодателен акт, предоставя изисквания за засилване на мрежовата и информационната сигурност, което прави сегашния момент отлична възможност да се подготвим и укрепим кибер защитата си.
В един все по-дигитализиран свят, където киберзаплахи дебнат зад всяко кликване, концепцията за отговорност при инцидент претърпява съществена промяна. Ръководителите на компании и ИТ мениджъри вече са носители на лична отговорност за пропуски в киберсигурността. Тази съществена промяна набира сила в рамките на регулаторната рамка на Европейския съюз МИС 2. Налагането на лична отговорност на вземащите решения ще предизвика така необходимата решителност при укрепване на киберустойчивостта.
Докато пробивите в сигурността са на първа страница в медиите, сред бизнеса и потребителите, призивът за реформа никога не е бил по-силен. С потенциални финансови санкции гарантирани от изискванията в МИС 2, надвиснали над физически лица, а не само върху корпорации, има осезаемо усещане, че този нов подход може да бъде катализаторът, необходим за повишаване на стандартите за киберсигурност в индустриите.
Последиците от тези нововъзникващи правила на ЕС не само ще доведат до промяна в корпоративното управление и отношение, но и същевременно ще катализират процеси за подобряване на цялостното ниво на защита в критичната инфраструктура на ЕС срещу непрекъснато развиваща се среда на заплахи, включително и чрез изискванията за обучение заложени в Законът за киберсигурност 2024.
Новата вълна на отговорност може да послужи като катализатор за насърчаване на култура на осведоменост за киберсигурността в организациите. Ръководителите ще трябва да подкрепят програми за обучение, които повишават разбирането на служителите за потенциалните заплахи, като същевременно прилагат технологии, които подобряват защитните механизми срещу безмилостни кибератаки. Чрез приоритизиране на устойчиви практики на всички нива – от C-ниво до служители на начално ниво – компаниите могат да трансформират подхода си към управлението на риска във вграден аспект на корпоративната стратегия, а не в последваща мисъл, предизвикана от мандатите за съответствие. По същество тази промяна създава възможност за лидерите не само да защитят своите организации от външни заплахи, но и да дадат възможност на своите екипи със знания и инструменти, необходими за ефективна защита срещу тях.
Експертите по киберсигурност имат ключова роля при внедряването на МИС 2 (NIS2) в организациите. Техните знания и опит са ценни за разработването, внедряването и поддръжката на политики, процедури и процеси по сигурност. Освен това, те трябва да бъдат поставени в центъра на обученията и програмите за повишаване на готовността срещу потенциални заплахи от кибератаки. Постигането на съответствие с МИС 2 (NIS 2) изисква актуализация на знанията и уменията на специалистите, както в областта на киберсигурността, така и в ИТ сферата като цяло. Това може да се постигне само с подкрепата на ръководството на компанията, на всички нива, по време на целия процес.
Какви са санкциите и наказанията предвидени в закона?
ЕС укрепва своята регулаторна рамка и поставя акцент върху личната отговорност при пропуски в информационната сигурност за мениджърите и ръководителите съгласно МИС 2. С потенциалните последствия, които се простират далеч отвъд финансовите санкции, лицата, вземащи решения, могат да се окажат изправени не само пред увреждане на репутацията, но и под повишен контрол от страна на компетентните органи, респективно акционерите и заинтересованите страни. Тази динамична ситуация изисква от лидерите да възприемат проактивна позиция към Киберустойчивостта, като гарантират наличието на стабилни системи за защита срещу пробиви, които биха могли да компрометират чувствителни данни или оперативна цялост.
Глобите за корпоративни субекти за неспазване на МИС 2 (NIS 2) зависят от това дали директивата ги определя като „важни“ или „съществени“.
Административен орган, който не изпълни принудителна административна мярка, се наказва с глоба от 10 000 до 100 000 лв.
(2) При повторно нарушение по ал. 1 наказанието е глоба от 20 000 до 200 000 лв.
Наложените имуществени санкции на съществените и важните субекти съгласно настоящия член във връзка с нарушения на закона, са ефективни, пропорционални и възпиращи, като се вземат предвид обстоятелствата във всеки конкретен случай.
- Съществен субект, който не изпълни задълженията се наказва с имуществена санкция от 200 000 лева до 2% от общия световен годишен оборот за предходната финансова година на предприятието, към което принадлежи съществения субект, но не по –малко от 20 000 000 лева.
- Важен субект, който не изпълни задълженията се наказва с имуществена санкция от 100 000 лева до 1,4% от общия световен годишен оборот за предходната финансова година на предприятието, към което принадлежи важния субект, но не по-малко от 14 000 000 лева.
При нарушение на чл. 21, управителите или членовете на управителните органи на съществените и важните субекти подлежат на имуществена санкция в размер на 1000 лв. до 100 000 лв.
Принудителни административни мерки се налагат върху съществен или важен субект с цел да се преустанови нарушение на закона в съответствие с предходно решение на компетентния орган.
В случай на неизпълнение на някоя от наложените мерки се налагат периодични имуществени санкции на съществен или важен субект в размер на 5 000 лв. за всеки ден неизпълнение.
За не предприемане на действията определени по реда на Закона компетентният орган може да изиска от съд или от друг държавен орган налагането на временна забрана спрямо всяко физическо лице, изпълняващо управленски функции или законен представител в този съществен субект, да упражнява управленски функции в този субект.
Законът е категоричен:
Чл. 27к. (5) Всяко физическо лице, отговорно за съществен или важен субект или действащо като негов законен представител въз основа на правомощие да го представлява, да взема решения от негово име или да упражнява контрол върху него, има необходимите правомощия, за да осигури спазването на закона. За тези лица се прилагат всички мерки предвидени както за съществените, така и за важните субекти. Тези физически лица могат да бъдат подведени под отговорност за неизпълнението на своите задължения по спазването на закона. Настоящата алинея не засяга публичната администрация, по отношение на отговорността на държавните служители и на избраните или назначените длъжностни лица
Важни стъпки за прилагане на Директива NIS 2
От технологична гледна точка, новият закон за киберсигурност – Мрежова и информационна сигурност (МИС 2) (NIS2) поставя конкретни изисквания пред бизнеса и ИТ индустрията. Организациите ще трябва да инвестират в модерна технология за управление на информационна сигурност, автоматизирани решения за откриване на заплахи и надеждни механизми за резервно копие на данните.
За да се гарантира успешното постигане на съответствие с изискванията на МИС 2 за киберсигурност, компаниите трябва първо да направят задълбочен анализ на текущото си състояние. Този процес включва идентифициране на слабите места в системите им, определяне на вероятността от кибератаки и оценка на възможните последствия. Професионална оценка ще помогне да се установят персонализирани подходи за борба с рисковете и засилването на киберустойчивостта.
След провеждането на анализа е от жизненоважно значение компаниите да разработят стратегия за спазване на изискванията по нормативната рамка. Тази стратегия трябва да включва конкретни действия, цели и времеви рамки, които ще обезпечат постепенното им приспособяване към новите изисквания на МИС 2. Методично изграждането и планирането на подходящ подход ще допринесе значително за постигането на целите за киберсигурност.
Заключение
С приемането на Директивата МИС 2, става ясно, че киберсигурността е от съществено значение за всеки бизнес. Предизвикателствата свързани с прилагането на директивата не трябва да бъдат подценявани, затова и важността на подготовката и съобразяването с изискванията ѝ е на първо място
Личната отговорност при пропуски и инциденти, необходимостта от по-добра мрежова и информационна сигурност, урегулирани в Директивата МИС 2, респективно Законът за киберсигурност 2024, стават неразделни компоненти от успешното укрепване на киберустойчивостта
Настъпват нови времена, носещи нови отговорности и промени. Киберсигурността вече не е ангажимент само на InfoSec мениджъра. Висшето ръководство трябва да участва активно в създаването и управлението на цялостната киберстратегия на организацията.
Ако имате нужда от консултиране, обучение или имате въпроси по Законът за киберсигурност 2024, базиран на Директива МИС 2, моля, свържете се с нас.