С влизането в сила на Директива NIS-2 в България чрез промените в Закона за киберсигурност, стотици компании от нови сектори попадат под регулаторен обхват. Макар директивата да цели повишаване на устойчивостта на критичната инфраструктура и дигиталните услуги, тя носи и сериозни предизвикателства за бизнеса – от лична отговорност за ръководството до кратки срокове за реакция при инциденти и възможност за санкции до 10 милиона евро или 2% от световния оборот.
До този момент киберсигурността често беше възприемана като чисто технически въпрос, който се решава от IT отделите. NIS-2 променя тази парадигма, като поставя мениджмънта в центъра на управлението на киберриска. Членовете на управителните органи вече носят пряка отговорност за прилагането на адекватни мерки за сигурност и за навременната реакция при инциденти. Това означава, че мениджърите трябва да имат не само ясно разбиране за рисковете, но и да са готови да предприемат конкретни действия в рамките на изключително кратки срокове.
Разширен обхват и нови сектори
Директивата значително разширява кръга на регулираните компании. От досегашните седем сектора, под надзора вече попадат общо 18. Сред новите са производство, логистика, хранително-вкусова промишленост, управление на отпадъци, пощенски и куриерски услуги, както и доставчици на инфраструктура за обществено зареждане на електромобили. Това означава, че много малки и средни предприятия, които досега не са били обект на специални изисквания за киберсигурност, вече трябва да изградят системи за управление на информационната сигурност и да докладват инциденти.
Кратки срокове за реакция
Една от най-сериозните промени, въведени от NIS-2, са кратките срокове за докладване на инциденти. При установяване на нарушение, компаниите трябва да уведомят компетентния орган в рамките на 24 часа. След това, в рамките на 72 часа, следва да предоставят междинен анализ на ситуацията, а до един месец – окончателен доклад, включващ подробна информация за причините за инцидента, предприетите мерки и препоръки за бъдещи действия. Тези изисквания поставят бизнеса под огромно напрежение и налагат изграждането на ефективни механизми за бързо откриване, анализ и реакция при кибератаки.
Финансова защита чрез киберзастраховане
Предвид високите санкции и потенциалните финансови щети от киберинциденти, киберзастраховането се очертава като ключов инструмент за управление на риска. То може да покрие разнообразие от разходи, включително възстановяване на системи и данни, правна защита, разходи за кризисен PR и управление на репутацията, както и загуби от прекъсване на дейността. Застрахователните компании, като ЛЕВ ИНС, предлагат специализирани продукти, които са съобразени с изискванията на NIS-2 и могат да помогнат на бизнеса да се подготви за новите предизвикателства. ЛЕВ ИНС дори предлага безплатна проверка за съответствие с директивата, която може да бъде първа стъпка към изграждането на адекватна защита.
Преходният период до 2026 г.
Въпреки че директивата вече е в сила, компаниите имат преходен период до 1 юли 2026 г., през който санкциите за първоначални нарушения ще бъдат по-ниски. След тази дата обаче санкциите ще достигнат пълните европейски нива, което означава, че всяко нарушение може да доведе до глоби до 10 милиона евро или 2% от световния оборот на компанията. Затова е важно бизнесът да използва този период, за да изгради необходимата инфраструктура и да обучи персонала си за новите изисквания.
Заключение
NIS-2 поставя киберсигурността в центъра на бизнес управлението и налага нови отговорности и изисквания към компаниите. Макар промените да са значителни и да изискват сериозни инвестиции, те са необходима стъпка за повишаване на устойчивостта на българската икономика срещу нарастващите киберзаплахи. Киберзастраховането може да бъде важен елемент от стратегията за управление на риска, като осигури финансова защита и подкрепа при инциденти. За бизнеса е от ключово значение да се възползва от преходния период и да предприеме своевременни действия, за да бъде в съответствие с новите правила, преди санкциите да достигнат пълния си размер.