Skip to Content

Готови ли сте за NIS2? Защо българските компании трябва да действат сега

NIS2 не е нещо, което фирмите могат да игнорират. INDUSTRIA помага на бизнесите да отговорят на новите изисквания, за да избегнат санкции, глоби и най-вече оперативни рискове.

Преди време един познат ме попита „Каква част от бизнеса ви е свързана или засегната от някаква регулация?“ Отговорът тогава беше прост – далеч повече, отколкото хората си представят. В този свързан свят почти всеки бизнес процес попада под някакъв регулаторен режим, независимо дали става дума за киберсигурност, защита на данни, финансови стандарти или индустриални изисквания.

Има и друга страна на медала на „свръхрегулацията“, в която напоследък често бива обвинявана Европа - днес компаниите не се съобразяват с регулации само защото „трябва“ и „някой им го налага“. Те го правят, защото клиентите им го очакват. Верига от доставки, в която един от доставчиците пренебрегва добрите практики за сигурност, вече е слабост за всички останали. Това е и причината NIS2 да засяга не само критичната инфраструктура, но и компаниите, които поддържат техните системи и данни.

Защо NIS2 има значение?

Директивата NIS2 (Network and Information Security Directive 2) е новата европейска регулация за киберсигурност, която засяга голям брой компании в различни сектори. Въпреки че влиза в сила през октомври 2024 г., повечето български компании все още нямат представа какво означава тя за тях и какви конкретни мерки трябва да предприемат.

Основните цели на NIS2 са:

  • Засилване на киберсигурността в ключови индустрии като енергетика, транспорт, финанси, здравеопазване и ИКТ;
  • Включване на повече сектори и компании, които предоставят съществени услуги за обществото, като например доставчици на цифрови услуги и ключови доставчици в индустрията;
  • Въвеждане на по-строги изисквания за управление на инциденти, управление на рискове и докладване;
  • Предвижда глобални санкции за несъответствие, включително високи глоби

Кои компании попадат под обхвата на NIS2?

Директивата засяга не само големите организации, но и средните предприятия в ключови сектори. Например:

  • Компании от критичната инфраструктура (енергетика, транспорт, здравеопазване)
  • ИТ и технологични компании, които предоставят услуги, свързани с киберсигурност, облачни технологии, дата центрове
  • Производствени предприятия, ако те са от критично значение за снабдителните вериги
  • Логистични и транспортни компании, които управляват мрежи от данни за товари и доставки

За много български фирми това означава, че те ще трябва да направят сериозни промени в управлението на информационната си сигурност.

Какви са конкретните изисквания?

NIS2 налага на компаниите:

  • Разработване и прилагане на планове за управление на риска;
  • Осигуряване на мониторинг и превенция на инциденти;
  • Гарантиране на бързо реагиране и възстановяване след киберинцидент;
  • Докладване на инциденти до 24 часа след установяване;
  • Провеждане на одити и тестове за уязвимости;
  • Въвеждане на процедури за автентикация и управление на достъпа.

Дали NIS2 е добра или лоша регулация?

Както всяка мащабна регулация, NIS2 има своите плюсове и минуси. От една страна, тя се стреми значително да подобри нивото на киберсигурност и да гарантира, че организациите ще бъдат по-добре подготвени за атаки. От друга страна, тя налага сериозни административни и финансови тежести върху бизнеса, особено върху компании, които досега не са инвестирали активно в киберсигурност.

В този смисъл, няма абсолютна "добра" или "лоша" регулация – има регулации, които са подходящи за определени контексти и пазари. Сравнявайки я с GDPR, NIS2 е по-фокусирана върху оперативната сигурност и реакцията на инциденти, докато GDPR акцентира върху защитата на личните данни. И двете директиви обаче имат обща цел – да направят дигиталната среда по-сигурна и предвидима за бизнеса и крайните потребители.

Ако си мислите, че в САЩ и Китай няма регулации като NIS2, грешите – просто подходът е различен. В Европа директивата цели да наложи ясни и задължителни правила за всички компании, докато в САЩ и Китай (там мерките буквално са „драконови“) регулациите са разпределени между различни закони и стандарти, но резултатът е сходен: бизнесът трябва да отговаря на високи изисквания за сигурност. Това е новата реалност за компаниите, които искат да останат конкурентоспособни.

Попадат ли доставчиците на бизнес софтуер под NIS2?

Да. Доставчиците на базови цифрови услуги (B2B софтуер, ERP, счетоводни и складови системи, облачни решения) са сред засегнатите от NIS2. Ако те предоставят услуги на компании в критични сектори (логистика, производство, финансови услуги и др.), попадат под регулацията и ще носят юридическа отговорност за недостатъци в сигурността. След малко ще се спра по-подробно на изискванията, които директивата поставя пред тях.

Край на безотговорната поддръжка

Ясно е, че една от големите промени, които NIS2 въвежда, е поставянето на по-голямата отговорност върху доставчиците на IT решения, включително софтуер за управление на бизнеса. Досега в България не беше рядкост компании да работят с остарели системи, зле поддържани сървъри и решения, които години наред не са получавали никакви обновления или адекватна защита.

За съжаление, този проблем е системен – не само някои доставчици нехаят за сигурността на клиентите си, но и самите бизнеси често не инвестират в защита, докато не станат жертва на атака.

С NIS2 това вече не може да бъде приемлива практика.

Какви са изискванията на NIS2 за ERP и бизнес софтуер?

NIS2 поставя конкретни изисквания към компаниите, които използват и поддържат ERP, CRM, счетоводни и складови системи, както и други бизнес софтуери, които обработват чувствителна информация.

Основните задължения за такива системи включват:

  • Регулярни актуализации и сигурност по дизайн – софтуерът трябва да получава редовни обновления, включително пачове за сигурност. Неподдържан софтуер или работа с версии без официална поддръжка създава сериозен риск.
  • Контрол на достъпа – ERP системите трябва да поддържат строги политики за автентикация, включително многофакторна автентикация (MFA) за потребителите с високи привилегии.
  • Логване и мониторинг – всички действия в системата трябва да се записват и анализират, за да се откриват подозрителни активности и възможни пробиви.
  • Шифроване на данни – критичната информация (финансови записи, клиентски данни, търговски тайни) трябва да бъде защитена чрез криптиране.
  • Управление на инциденти – компаниите трябва да имат план за реакция при кибератака, а доставчиците на софтуер трябва да предоставят механизми за бързо възстановяване на данни и системи.
  • Редовни тестове за уязвимости – ERP доставчиците и компаниите, които ги използват, трябва да правят одити и тестове за сигурност, за да намалят риска от пробиви.

Тези изисквания са критични, особено в контекста на кибератаките срещу български компании, използващи неподдържани или лошо защитени решения. С NIS2 това вече няма да бъде просто препоръка – неспазването на тези мерки ще води до санкции.

Какво щеше да се случи при вече влезлия в сила NIS2?

При инцидент, подобен на последните масови пробиви, при които бяха компрометирани десетки компании поради уязвимости в зле поддържан софтуер, последствията за доставчика на софтуера щяха да бъдат:

  • Задължително разследване на начина, по който е управлявана сигурността;
  • Глоби и санкции, достигащи до милиони евро в зависимост от размера на компанията и нарушенията;
  • Административни и съдебни последици за несъответствие с регулацията;
  • Потенциална забрана за работа на пазара в случай на системни нарушения.

Освен това клиентите, които са претърпели загуби, биха могли да съдят доставчика на софтуера за нанесени щети. Не е тайна, че много компании в България са били изнудвани да заплащат за обратен достъп до хакнатата си база данни. Тайна е колко са тези компании, но не и че исканите суми често варират от няколко хиляди до десетки хиляди евро.

Как INDUSTRIA помага на компаниите да отговорят на NIS2?

INDUSTRIA не само консултира компаниите за NIS2 – ние доставяме решения, които са съвместими с регулацията и изградени по стандартите за киберсигурност. Нашите ERP решения и проектите ни за индустриална автоматизация по дизайн отговарят на изискванията на NIS2, което означава, че клиентите ни нямат нужда да се притесняват за съответствието на своята инфраструктура.

Другото е, че вместо да се налага компаниите сами да внедряват сложни мерки за сигурност, INDUSTRIA поема тази тежест – от осигуряването на защита на данните и достъпа, до внедряването на инструменти за мониторинг и реакция при инциденти.

Ето как гарантираме на нашите клиенти, че ще покрият изискванията на NIS2:

  1. ERP, IoT и бизнес софтуер с вградени механизми за сигурност
    1. Нашите ERP решения са напълно съвместими с NIS2 и съдържат вградени инструменти за управление на сигурността, контрол на достъпа и регистриране на събития.
    1. IoT решенията ни поддържат защитена комуникация, криптирани канали и автоматизирани механизми за мониторинг на риска.
    1. Бизнес процесите са оптимизирани за минимизиране на киберрисковете, което означава, че компаниите не трябва да променят изцяло начина си на работа – сигурността е интегрирана от самото начало.
    1. Някои наши клиенти дори подписват с нас договори за регулаторно съответствие (compliance) с DORA (друга директива на ЕС за цифрова оперативна устойчивост във финансовия сектор), за да гарантират, че техните ИКТ услуги отговарят на изискванията за киберустойчивост. Това повишава сигурността и надеждността им, като допълва NIS2 чрез осигуряване на цялостна рамка за управление на цифровите рискове и защитата на критични ИТ услуги.
  6. Постоянна поддръжка и минимизиране на риска
    1. INDUSTRIA предоставя постоянна поддръжка за инфраструктурата на клиентите, като гарантира, че сървърите, базите данни и IoT устройствата работят според стандартите за сигурност.
    2. Нашите клиенти не трябва да се притесняват за критични уязвимости, защото ние гарантираме редовни актуализации и защита на техните системи.
    3. Предлагаме автоматизирани механизми за откриване на заплахи, така че потенциалните атаки да бъдат блокирани преди да причинят щети.
  8. Когато се налага, правим цялостен анализ и стратегическа подготовка за NIS2
    1. Оценяваме текущото състояние на сигурността на нашите клиенти и посочваме всички слаби места, които трябва да бъдат отстранени.
    2. Разработваме индивидуални стратегии за NIS2, така че всяка компания да покрие регулацията без ненужни разходи или сложност.
    3. INDUSTRIA не просто дава насоки – ние реално внедряваме защитени системи, които автоматично покриват ключовите изисквания.
  10. Технически решения за киберсигурност, интегрирани в ERP и IoT
    1. Централизирано управление на сигурността – всички мерки за киберсигурност са интегрирани в ERP системата, което означава, че компаниите не трябва да внедряват допълнителни инструменти.
    2. SIEM (Security Information and Event Management) системи, които осигуряват мониторинг на активностите в реално време и алармират при потенциални атаки.
    3. Автоматизирано управление на потребителските права, за да се предотвратят вътрешни заплахи и нерегламентиран достъп.

Решенията, които INDUSTRIA предлага са с гарантирано съответствие с NIS2 чрез утвърдени стандарти

Малко ще си позволя да разширя „минутката за самореклама“, но решенията, които INDUSTRIA предлага, не само покриват изискванията на NIS2, но и отговарят на утвърдени международни стандарти за сигурност. Odoo ERP системите, които доставяме и интегрираме, са сертифицирани по:

  • Odoo ISAE3402 SOC 1 Type I
  • Odoo ISAE3402 SOC 1 Type II
  • Odoo SOC 2 Type I
  • Odoo SOC 2 Type II

Тези стандарти гарантират, че системите за управление на бизнеса осигуряват надеждност, защита на данните и устойчивост срещу киберзаплахи – ключови аспекти на NIS2.

Също така, софтуерът, който INDUSTRIA разработва вътрешно, следва същите високи принципи за сигурност. Това означава, че независимо дали клиентът използва Odoo, ERP решения, IoT интеграции или индустриални автоматизации, всички наши системи отговарят на стандартите за защита на данните и инфраструктурната сигурност.

Допълнително, INDUSTRIA работи с партньори като Advantech, които също се ангажират с пълно съответствие на своите технологии с NIS2 и целят ISO 27001 сертификация до 2025 г. Техните системи са изградени върху принципи като:

  • Оценка и управление на риска
  • Бизнес устойчивост и възстановяване при инциденти
  • Строги изисквания към доставчиците по сигурността
  • Периодично обновяване на политиките за сигурност

С тази инфраструктура клиентите ни не трябва да се притесняват за сложни интеграции, поддръжка на сървъри и защита на данни – INDUSTRIA прави необходимото, за да внедри важните механизми.

Време е за промяна

Практиката на оставяне на сървърите на клиентите без поддръжка, работа с неподдържани технологии и липса на адекватни мерки за защита вече няма да бъде просто технически проблем – тя ще носи юридическа и финансова отговорност.

Компаниите, които използват бизнес софтуер, също ще трябва да вземат мерки – поддръжката на системите и спазването на стандартите за киберсигурност ще бъдат колективна отговорност между клиент и доставчик.

Готови ли сте за NIS2? Защо българските компании трябва да действат сега
Petko Karamotchev 9 март 2025 г.
Споделяне на статус
Маркери
Advantech ERP European Union NIS2 cybersecurity киберсигурност
Архив