Независим одит според изискванията на Законът за Киберсигурност на България / МИС2

Киберустойчивостта постепенно се утвърди от концепция с пазарна стойност в нормативно изискване. В рамките на изискванита поставени в Законът за Киберсигурност на България (ЗКБ) / Директивата за Мрежова и Информационна Сигурност версия 2 МИС2 (NIS2) от засегнатите организации се очаква да идентифицират и адресират слабостите в сигурността, да осигурят проследимост на процесите и да прилагат превантивен подход към киберзаплахите, а не само защитни мерки.

Законът за Киберсигурност на България (ЗКБ) въвежда задължението за независима оценка на нивото на сигурност, чрез която се измерва ефективността и зрелостта на приложените контроли. Въпреки това за много организации, особено с международно присъствие и разпределени структури, одитният процес остава сложен и трудно управляем.

Съществува принципна несигурност относно реалната степен на съответствие с изискванията на Директивата МИС2 (Транспонирана в променения Закон за киберсигурност на България от 5 февруари 2026г.). Въпреки внедрените мерки, при подготовката за одит често липсва яснота какви конкретни критерии ще бъдат прилагани и как ще бъде оценявано изпълнението, което създава усещане за проверка без ясно дефинирана рамка.

Това усещане е широко разпространено сред засегнатите организации. МИС2 представлява съществено надграждане спрямо предходната рамка, с по-широк обхват, засилен регулаторен контрол и разширени механизми за прилагане. За субектите в нейния обхват подготовката за одит не се свежда до формално покриване на изисквания, а изисква яснота в оперативните процеси, зряло управление на риска и последователна, проследима документация. Един от съществените елементи на МИС2 е задължението за периодични одити на киберсигурността.

1. Каквa е същността на одита по МИС2?

Одитът по МИС2 представлява структурирана оценка на прилаганите мерки и процеси за киберсигурност в организациите, попадащи в обхвата на директивата. Основната цел е да се установи степента на съответствие с нормативните изисквания, както и зрелостта на управлението на киберриска и инцидентите.

Оценката може да бъде извършена чрез вътрешен или независим одит, в зависимост от регулаторните очаквания и организационния модел. В рамките на одитния процес се анализира цялостният подход към сигурността, включително управленски, технически и организационни елементи.

Одитите по МИС2 се изместват от концептуални оценки към реални регулаторни проверки с преки последици за организациите. Те са насочени към действителното прилагане на мерките, а не към формалното им деклариране.

В сила от октомври 2024 г., МИС2 въвежда задължителни изисквания за киберсигурност за ключови и важни субекти в сектори като енергетика, здравеопазване, финанси и цифрова инфраструктура и др., като поставя акцент върху отчетност, проследимост и управление на риска.

Процесът на одит според изискванията на МИС2 е уточнен в Членове 20 и 21 (като вътрешна мярка за сигурност) и в Членове 32 и 33 (като външен механизъм за контрол), като техническите детайли са разписани в Регламента за изпълнение (ЕС) 2024/2690, които дават правомощия на националните органи да провеждат както редовни, така и ad hoc одити, да изискват достъп до документация и системи и да издават обвързващи инструкции или санкции в случай на недостатъци.

2. Методология и етапи на одитния процес според Законът за Киберсигурност на България (ЗКБ) / МИС2 (NIS2)

1. Планиране на одита и уточняване на:

• Екип на проекта и управление
• Обхват на одита
• Критерии за одит (стандартни клаузи, законови изисквания, вътрешни политики)
• Методи за одит (интервюта, преглед на документи, техническа валидация и доказателства)

2. Анализ на пропуските

Процеса на ефективно внедряване на изискванията на МИС 2 (NIS2) продължава с прецизна оценка. Чрез нашия специализиран GAP анализ идентифицираме разликите между съществуващите ви практики и законовите изисквания. Резултатът е ясна пътна карта (Roadmap) от текущото ниво на защита до желаното целево състояние, гарантираща устойчиво съответствие и висока киберустойчивост. Този процес ви позволява да дефинирате ясно своите цели и да инвестирате ресурси само в мерките, които носят реална добавена стойност.

Експертите на ISCS стартират одитния процес с детайлна оценка на организационната киберустойчивост, обхващайки всички критични области и изисквания на Директивата МИС2 (NIS2). Нашата методология е проектирана да идентифицира пропуските в сигурността и да гарантира, че вашата инфраструктура отговаря на най-високите европейски стандарти.

Ключовите области на проверка включват:

1. Управление на риска и политики за сигурност: Оценка на цялостната рамка за управление на риска и съответствието на вътрешните политики с новите регулаторни стандарти.
2. Управление и докладване на инциденти: Проверка на механизмите за откриване, анализ и реакция при киберзаплахи, както и на готовността за задължително докладване към националните органи.
3. Непрекъснатост на бизнес процесите Business Continuity Process (BCP): Анализ на плановете за възстановяване след инциденти, управлението на резервни копия и стратегията за работа в кризисни ситуации.
4. Сигурност на веригата за доставки: Одит на взаимоотношенията с доставчици и партньори, за да се гарантира сигурността на целия оперативен екосистема.
5. Киберхигиена и обучение на персонала: Оценка на основните практики за киберсигурност и нивото на осведоменост на служителите – ключов елемент от изискванията на МИС2 (NIS2).
6. Криптография и контрол на достъпа: Проверка на политиките за криптиране и системите за управление на идентичността и достъпа Access Management (IAM).
7. Удостоверяване и Оценка на ефективността: Валидиране на реалното действие на внедрените контроли чрез регулярни тестове, измерване на ключови показатели за ефективност Key Performance Indicators (KPI) и одити. Целта е да се гарантира, че мерките за сигурност не са само формално приети, но и осигуряват надеждна защита в реална среда.

3. Докладване след одита

След завършване на оценката, получавате:

1. Одитен доклад по МИС2 (NIS2): Ясна и обективна картина на текущото ниво на съответствие и реалното състояние на мерките за информационна сигурност.
2. Несъответствия и възможности за подобрение: Конкретно очертани пропуски, както и практически насоки къде и как може да се повиши нивото на сигурност.
3. Силни страни и ниво на зрялост: Открояване на работещите практики и реалистична оценка на зрелостта на организацията.
4. Препоръки за коригиращи действия: Фокусирани и приложими препоръки, подредени по приоритет и риск.
5. Пътна карта за подобрение: Разбираем и поетапен план за постигане и поддържане на съответствие с изискванията на МИС2 (NIS2).

4. Защо одитът според Законът за Киберсигурност на България (ЗКБ) / МИС2 (NIS2) е важен?

Одитът по МИС2 (NIS2) помага на организациите да отговорят на регулаторните изисквания и да управляват ефективно рисковете за информационната сигурност.

• Регулаторно съответствие и правна сигурност: Задължително условие произлизащо от МИС2 (NIS2) е компаниите да провеждат регулярен одит на информационната сигурност.
• Намаляване на риска и по-висока устойчивост: Идентифицира пропуски в сигурността и позволява навременни коригиращи мерки.
• Доказуемост и доверие: Осигурява ясни доказателства за клиенти, партньори и регулатори.
• Непрекъснато подобрение: Създава основа за системно развитие на мерките за сигурност.
• Подкрепа за управлението: Дава на ръководството ясна основа за приоритети и инвестиции в сигурността.

Заключение

Одитът според изискванията на Законът за Киберсигурност на България (ЗКБ) / МИС2 (NIS2) е ключова възможност за укрепване на киберсигурността и гарантиране на регулаторна готовност. С правилната подготовка, организациите могат да управляват ефективно риска и да посрещнат регулаторните изисквания с увереност.

Ако желаете да оцените нивото си на готовност или да извършите регулярния одит според изискванията на Законът за Киберсигурност на България (ЗКБ), можете да се свържете с нас чрез формата за контакт за професионална консултация и конкретни следващи стъпки.