Новата Директива за мрежова и информационна сигурност (NIS2) на Европейския съюз има за цел да подобри колективната киберсигурност в Европа, като наложи по-строги изисквания за сигурност на критичната инфраструктура. Това включва и училищата, които са важна част от публичната администрация, обхваната от директивата.
Какво налага NIS2?
NIS2 поставя нови изисквания в четири основни области:
- Управление: Ръководствата на училищата ще носят отговорност за идентифициране и справяне с кибер рисковете. Те трябва да преминат обучения за оценка на киберрисковете и да насърчават подобни курсове за всички служители.
- Докладване: Ще бъдат въведени срокове за докладване на инциденти, като например 24 часа за сериозни инциденти. Училищата трябва да имат процеси за докладване на властите.
- Управление на риска: Училищата трябва да внедрят мерки за минимизиране на рисковете, включително управление на инциденти, подобряване на сигурността на веригата на доставки, криптиране и политики за използване на криптография. Те трябва да извършват редовни оценки на риска.
- Непрекъснатост на дейността: Трябва да се разработят планове за гарантиране на непрекъснат работен процес при сериозни кибер инциденти, включително резервни копия и план за възстановяване.
Какви са последствията при неспазване?
Неспазването на NIS2 ще доведе до значителни глоби за училищата, достигащи до 10 милиона евро или 2% от годишния бюджет. Освен това ръководствата могат да понесат правни последствия.
Каква е разликата с NIS1?
NIS2 е значително разширение на предишната директива NIS1, приета през 2016 г. Основната разлика между двете е, че NIS2 разширява обхвата на прилагане, като включва много повече сектори и организации, които преди това не бяха обхванати. Докато NIS1 се фокусираше основно върху операторите на основни услуги и доставчиците на цифрови услуги, NIS2 обхваща 15 различни сектора, включително енергетика, транспорт, здравеопазване, хранителна индустрия и публична администрация. Освен това, NIS2 въвежда по-строги изисквания за управление на риска, докладване на инциденти и отговорност на ръководството, което означава, че управителите на организациите ще носят пряка отговорност за спазването на новите правила.
| Аспект | NIS1 | NIS2 |
|---|---|---|
| Обхват | Ограничен до “Оператори на основни услуги” (OES) и “Доставчици на цифрови услуги” (DSP) в конкретни сектори. | Разширен, за да включва по-широк кръг сектори и субекти, обхващащи 15 различни сектора, включително енергетика, транспорт, банково дело, здравеопазване и цифрова инфраструктура. |
| Класификация на субектите | OES и DSP. | Класифицира субектите като “съществени” и “важни”, премахвайки предишното разграничение. |
| Обхват на организациите | Основно се фокусира върху доставчиците на критична инфраструктура. | Включва средни и големи организации в различни сектори, като малките предприятия се включват при определени условия. |
| Изисквания за кибер сигурност | Общи насоки с възможност за интерпретация. | Специфични, хармонизирани изисквания за сигурност, включително оценка на риска, планове за реагиране при инциденти и мерки за сигурност на веригата на доставки. |
| Докладване на инциденти | По-малко строги, без конкретни срокове. | По-строги задължения с определени срокове за докладване на инциденти. |
| Санкции за неспазване | Не са определени финансови санкции. | Глоби до 10 милиона евро или 2% от годишния оборот, с потенциални задължения за ръководството. |
| Отговорност на ръководството | Ограничена отговорност на ръководството. | Изрични отговорности на ръководните органи за наблюдение на мерките за кибер сигурност и отговорност за нарушения. |
| Сътрудничество | Минимално трансгранично сътрудничество. | Подобрено сътрудничество и обмен на информация между държавите членки чрез нова Група за сътрудничество. |
| Краен срок за изпълнение | Н/П (първоначалната директива е установена през 2016 г.). | Трябва да бъде транспонирана в националното законодателство до 17 октомври 2024 г. |
Как да се подготвим?
Училищата трябва да започнат да се подготвят за новите изисквания, като:
- Инвестират в технологии за защита, като управление на достъпа и криптиране. Може да използвате нашия инструмент за оценка, за да видите къде имате пропуски.
- Провеждат обучения за служителите и учениците за кибер хигиена. Заяви интерес за обучение.
- Разработят политики за управление на риска и непрекъснатост на дейността.
Спазването на NIS2 ще бъде от решаващо значение за защита на чувствителните данни и непрекъснатостта на образованието в дигиталната ера. Училищата трябва да действат сега, за да се подготвят за новите изисквания.