Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особено за секторите на критичната инфраструктура. Но тя не се отнася само до технологични подобрения – в нея се подчертава силното участие на ръководството в изграждането на киберустойчива организация.
Какво означава това за вашия бизнес?
1- Преместване на фокуса върху управлението на риска
NIS 2 изисква подход към киберсигурността, основан на риска. Това означава, че предприятията (класифицирани като „съществени“ или „важни“ съгласно директивата) се нуждаят от ясен план за идентифициране, оценка и справяне с киберзаплахите.
2 – По-силно управление: Ръководството ви е на мястото на водача
Ето как NIS 2 променя правилата на играта за ръководството:
Подкрепа от страна на ръководството: Киберсигурността вече не може да бъде само проблем на ИТ. Ръководните органи трябва да одобряват и контролират мерките за управление на риска в областта на киберсигурността.
Обучение на лидери: Въпреки че не е необходимо изпълнителните директори да са експерти по киберсигурност, те трябва да имат основни познания. NIS 2 изисква обучение на ръководството, за да може то да разбере киберрисковете и тяхното въздействие върху бизнеса.
Информираност на служителите: Силната позиция в областта на киберсигурността изисква участието на всички. NIS 2 насърчава организациите да осигуряват редовно обучение на служителите по киберсигурност.
3 – Отговорност на висшето ръководство
Традиционно тежестта на киберсигурността пада единствено върху ИТ отдела. NIS 2 променя това. За да се подчертае споделената отговорност и да се намали натискът върху ИТ, директивата въвежда мерки, които държат висшето ръководство лично отговорно за пропуските в киберсигурността при големи инциденти със сигурността, ако има доказателства за груба небрежност.
Държавите – членки на ЕС, вече могат да търсят отговорност от ръководителите и да изискват от организациите да предприемат следните действия:
Публично оповестяване на нарушенията: От организациите може да се изиска да обявят публично своето неспазване на NIS 2.
Публично опозоряване: Публичните изявления могат да идентифицират лицата (физически лица и юридически представители), отговорни за нарушението.
За доставчиците на критична инфраструктура („съществени“ субекти) съществуват още по-строги санкции. В случаи на повтарящи се нарушения, дължащи се на груба небрежност, органите могат временно да забранят на лицата да заемат ръководни длъжности.
Ползите от силното управление
Тези изисквания не са свързани само с наказания, а с постигането на две основни цели:
- Повишаване на отговорността на ръководителите: Чрез поставянето на висшия мениджмънт в зависимост от ситуацията, NIS 2 насърчава по-активен подход към управлението на риска за киберсигурността.
- Предотвратяване на грубата небрежност: Заплахата от персонални последици обезкуражава пренебрегването на усилията за киберсигурност.
- По същество NIS 2 променя архетипа на отговорността за киберсигурността. Тя вече не е само проблем на ИТ, а въпрос на заседателната зала с потенциални последствия за ръководството.
Превръщане на изискванията в предимства
Тези изисквания за управление са предупредителен сигнал, но те могат да бъдат и от полза за вашия бизнес:
- Ясна собственост: Отговорността на ръководството насърчава културата на отговорност за киберсигурността, като гарантира, че всички са инвестирали в защитата на своите системи.
- Подобрено вземане на решения: С по-задълбоченото разбиране на киберрисковете ръководството може да взема информирани решения за разпределението на ресурсите и инвестициите в сигурността.
- Проактивен подход: Фокусът върху управлението на риска насърчава проактивния подход към киберсигурността, а не само реагирането на инциденти.
Предприемане на действия
Изпълнението на изискванията за управление на NIS 2 изисква ангажираност. Ето някои стъпки, които можете да предприемете:
- Преглед на структурата на ръководството: Осигурете ясна отговорност за киберсигурността в рамките на управленския си екип.
- Разработете програма за обучение: Инвестирайте в обучение на ръководството и служителите, за да повишите осведомеността и разбирането на киберзаплахите.
- Интегрирайте киберсигурността в управлението на риска: Разгледайте кибернетичните и другите бизнес рискове заедно, за да създадете цялостен подход.
NIS 2 може да изглежда предизвикателна, но нейният фокус върху управлението е положителна стъпка. Чрез овластяване на ръководството и насърчаване на културата на осведоменост за киберсигурността предприятията могат да засилят защитата си срещу постоянно развиващите се киберзаплахи.