Директива на Европейския съюз задължава компаниите от ключови сектори да повишат нивото си на киберсигурност.
В България предстои нейното прилагане чрез въвеждане на правилата в националното законодателство. Те предвиждат активно управление на рисковете посредством технически и организационни мерки за защита. Задължително ще стане и докладването на сериозни инциденти в кратки срокове.
В дигиталния свят най-големите рискове са киберинцидентите с изкуствен интелект, но остават и другите познати атаки, обясни специалистът д-р инж. Петя Петрова.
РЕКЛАМА
Вече има доста варианти на Ransomware-as-a-Service, които използват изкуствен интелект. Още от създаването си до днес ransomware криптира информацията, блокира достъпа до нея и изисква откуп в криптовалута. Бих казала, че т.нар. „man-in-the-middle“ атаки – подслушване на комуникацията между две страни и пренасочване на платежни инструменти – в момента са сред най-рисковите.
По силата на Европейска директива за киберсигурност бизнесът е задължен да прилага мерки за управление на риска и запазване на дигиталната си среда.
Законът за киберсигурността в първата си част установява минималните мерки за киберсигурност. Всяка организация от частния сектор с над 50 служители или с годишен оборот над 10 милиона евро ще трябва да спазва и втората част на закона, в която е транспонирана директивата NIS 2. Мерките предвиждат обучение на служителите поне веднъж годишно, въвеждане на политики и процедури за информационна сигурност, насочени към персонала, както и удостоверяване на самоличността при достъп до работните станции. Това ще се осъществява чрез електронен подпис или друг вид удостоверяване.
Ако не се прилагат предвидените мерки, отговорността е както на дружествата, така и на тяхното ръководство.
Отговорност ще носят пряко и физическите лица, които имат право да управляват дружеството – на ниво главен изпълнителен директор или законен представител на съответния субект. Възможни са санкции както за дружеството, така и персонално за тях. Освен финансови санкции, при инцидент могат да настъпят и сериозни репутационни загуби.
РЕКЛАМА
Заплахата от кибератаки е напълно реална, поради което бизнесът приема изискванията на директивата с необходимата сериозност, споделя своя опит Петя Петрова.
Наблюденията ми са, че особено общинските администрации приемат мерките много сериозно и се подготвят активно за изискванията за киберсигурност. Също така и в частния сектор започнаха да актуализират своите оценки на риска и поставиха киберсигурността сред приоритетите си.
При неспазване на изискванията на директивата санкциите за големите компании могат да достигнат 10 милиона евро или до 2% от годишния им оборот.
