Директивата относно мерките за високо общо ниво на киберсигурност в ЕС (Директива за МИС2) влезе в сила на 17 октомври и се отнася до 100 000 фирми и организации в Европа. Тя изисква от големите компании и малките и средни предприятия от 18 сектора на икономиката да засилят своите киберзащити, пише latribune.fr.
Не минава и седмица без голяма кибератака, което принуждава правителствата да адаптират постепенно законодателството си, за да защитят своите предприятия и обществени инфраструктури. Това накара Европейския парламент да приеме през 2016 г. директивата МИС (мрежи и информационни системи), чието прилагане започна през 2018 г. Нейната цел беше да наложи определен стандарт за киберсигурност на предприятията, работещи в сектори от жизненоважно или стратегическо значение, като енергетика, производство на хранителни стоки и финансови услуги.
Но при бързоразвищатата се сфера на киберсигурността, МИС вече се оказва остаряла. Тъй като големите компании и държавните агенции значително засилиха своята киберзащита, киберпрестъпниците откриха нов трик за заобикалянето им: насочиха се към по-малки фирми, разположени в различни части на проидзводствената верига, които се оказаха най-уязвими. И най-важното, те не под изискванията на МИС.
Така през 2020 г. кибератаката срещу софуерната фирма SolarWinds позволи на киберпрестъпниците да хакнат множество служби на американското федерално правителство. През юли грешна актуализация на софтуера за киберсигурност CrowdStrike парализира повече от 8,5 милиона компютри, работещи с Windows, водещата операционна система на Microsoft.
Засегнати са 15 000 фирми вместо 500
Оттам и необходимостта да се разшири периметъра на МИС върху по-голям брой субекти.
„Една кибератака днес може да засегне всеки елемент от веригата на стойността на дадена компания. Ето защо е важно да се повиши нивото на киберхигиена за всички партньори в рамките на Европа, за да има хомогенност, способна да предотврати по-ефективно кибератаките“, отбелязва Еди Сифлет, експерт по МИС 2.
Така директивата МИС 2, приета през ноември 2022 г. в Брюксел и която автоматично се прилага в Европейския съюз от 17 октомври, води до кардинална промяна в обхвата. По този начин във Франция броят на фирмите, върху които тя се разпростира, ще се увеличи от 500 на 15 000, а в ЕС – от 15 000 на 100 000. Така се обхващат и всички подизпълнителите по доставната верига.
Новият закон засяга най-вече малките и средните предприятия, а обхватът му се разшири в 18 сектора, между които здравеопазване, транспорт, управление на отпадъците, доставка на цифрови услуги и общините с над 30 000 жители.
МИС 2 въвежда „правила за обхвата“ за опредляне на фирмите, които подлежат на регулиране, което означава, че „всички средни и големи предприятия, работещи или предоставящи услуги в секторите обхванати от директивата, ще попаднат под нейното действие“, според Съвета на ЕС.
Както обикновено, страните членки разполагаха с две години, за да транспонират европейската директива в националното си законодателство и да определят нейния обхват. Но с наближаването на крайния срок Франция не е готова. Законопроектът за транспониране беше внесен в Министерския съвет едва на 15 октомври. Това забавяне се дължи най-вече на разпускането на Националната асамблея.
Франция не е единственият лош ученик в ЕС: към днешна дата само 3 държави от 27-те (Белгия, Хърватия и Унгария) са публикували своя закон за транспониране. След това фирмите ще имат срок до 31 декември 2027 г. да се съобразят с изискванията.
Поредица от добри практики, които трябва дабъдат приети
Засегнатите предприятия ще трябва да приемат поредица от подходящи технически, оперативни и организационни мерки за управление на рисковете, свързани със сигурността на мрежите и информационните системи.
„Трябва да използваме всичко, свързано с обучението и осведомеността за киберхигиената, тъй като знаем колко решаващ е човешкият фактор. Тази работа трябва също да е насочена към ръководствата за осъществяването на истинско управление и стратегия за киберсигурност, като ИТ екипите вече не са единствените,за които се отнася, нито единствените, които носят отговорността“, отбелязва Еди Сифлет.
Огромното мнозинство от кибератаките са резултат от човешка грешка. „Необходими са по-високотехнологични мерки като използването на криптиране, гарантиране на сигурността на комуникациите, независимо дали става дума за разговори, текстови съобщения или видеоконференции. Също така трябва да се прилага реална политика за правата и достъп до системите: гарантиране, че за достъп до приложения имаме специфични права и вече нямаме достъп по подразбиране до цялата информационна система. Говорим за модел за сигурност с нулево доверие или ZTNA“, добавя той.
Новата директива въвежда и задължения за докладване и информиране след инцидент. Засегнатите фирми ще разполагат с период от 24 часа, за да подадат първата тревога до компетентния орган и да уточнят дали има възможност за трансгранично въздействие. След това в рамките на 72 часа след инцидента те трябва да го детайлизират и да дадат оценка на въздействието му.
Да се подобри координацията на европейско ниво
Целта на МИС 2 всъщност е да съдейства за обмена на информация между отделните европейски държави след кибератака, за да се ограничи въздействието ѝ.
„Ако компания А е жертва на кибератака, тя трябва да се свърже с колегите си, за да ги предупреди и да разбере дали те също не са били жертви, като каже „На мене ми се случи това. Ти добре ли си защитен? Предприел ли си съответните мерки? Ние успяхме да отразим атаката и да възстановим услугите по еди какъв си начин…“. Това наистина е работа, която трябва да се извърши в европейски мащаб“, обяснява Еди Сифлет.
С оглед на това е създадена специфична и сигурна комуникационна мрежа, наречена CyCLONe (от англ. Cyber Crisis Liaison Organisation Network).
Законът също така предлага хомогенизиране на CERT (он англ. Computer Emergency Response Team) – компютърен екип за спешно реагиране – центрове за намеса, които се мобилизират по време на криза. „Вече съществуват много експертни центрове в случай на кибератака, главно в частни компании. Ответната реакция в киберпространство се оглавява от единен център ца всяка държава-членка, например има CERT-FR в случая на Франция. Една от задачите на МИС 2 е да създаде европейска мрежа за координиране на действията на отделните центрове и да хомогенизира реакциите при инциденти със сигурността в рамките на Европейския съюз“, обяснява Франсоа-Пиер Лани, адвокат, специализиран в цифровите технологии.
Налагане на проактивни подходи
Друга промяна, въведена от МИС 2 е проактивността на подходите. Преди френската агенция по киберсигурност (ANSSI) беше натоварена с оценката на нивото на киберустойчивост на компаниите. Сега самите компании трябва да направят самооценка и да декларират резултати, като ANSSI изпълнява само контролна функция.
В случай на неспазване на задълженията за сигурност директивата предвижда глоби от 7 до 10 милиона евро или от 1,4% до 2% от общия оборот в зависимост от степента на значимост на засегната компания. Друга новост: директивата въвежда наказателна отговорност за ръководителите в случай на неспазване на задълженията предвидени от закона.
Между различните европейски закони, които се появиха около информационните системи, съществуват кумулативни рискове за санкции за компаниите. GDPR, Законът за изкуствения интелект, сега МИС 2 със свои собствени санкции, DORA, която допълва МИС 2 с оперативната устойчивост на банките и застрахователните компании също носят рискове от санкции… CIO и CISO са изправени пред регламент, който кумулира санкциите и те могат да достигнат повече от 50% от оборота на компанията. В този контекст отговорността за съотвествието на дадена компания към закона се пада на нейния мениджър.
Великобритания със собствен закон
На острова британското правителство в момента разработва свой собствен законопроект Cyber Security and Resilience Bill (Закон за киберсигурност и устойчивост). Той все още е във фазата на изготвяне и трябва да бъде представен пред парламента в началото на 2025 г. Той трябва да има много прилики с МИС 2, за да засили сближаването между фирмите в Обединеното кралство и ЕС.
Британският закон обаче трябва да съдържа някои тънки разлики с европейската директива, по-специално по отношение на задължителното докладване на кибер инциденти и целите, която обхваща.
„Общото между двата текста е, че акцентират върху комуникацията с властите след кибер инцидент. Но заявените цели се различават леко. МИС 2 прави тази декларация задължителна, за да се оцени непосредственото въздействие на инцидента(…), докато британският текст набляга на предоставянето на правителството на максимален обем и детайлизирани данни за кибератаките“, обяснява Джеймс Ходж, главен съветник по стратегията в Splunk.
„Според мен това идва от факта, че британското правителство смята, че не може само да осигури киберустойчивост и че ролята му по-скоро трябва да бъде да споделя максимално количество информация, за да позволи на фирмите непрекъснато да подобряват нивото на защитата си като се учат от своите грешки“, добавя той. Има малка разлика във философията между Великобритания и ЕС, но в крайна сметка целта остава една и съща: да се осъзнае техническото и стратегическото значение на киберсигурността.