DORA vs. NIS 2: Как да постигнете съответствие с европейските изисквания за киберсигурност

Разлики, прилики и практически насоки за постигане на съответствие

Два нормативни стълба дефинират настоящата рамка на киберсигурността в Европа: Директивата NIS 2 (транспонирана в българското законодателство чрез Закона за киберсигурност) и Регламентът DORA. Въпреки че имат обща цел –  повишаването защитата на критичната IT инфраструктура, те се различават по обхват, технически изисквания и механизми за прилагане.

Какво представляват DORA и NIS 2?

NIS 2 (Директивата за мрежова и информационна сигурност)

NIS 2 е хоризонтална директива, която установява базова линия за киберсигурност в широк спектър от икономически сектори (общо 18), класифицирани като „съществени“ и „важни“ субекти. Тя изисква от държавите членки да хармонизират своите национални закони, за да осигурят единно ниво на защита в целия Съюз. В България това вече е направено – чрез промените в Закона за киберсигурност от февруари т.г.

DORA (Акт за оперативна цифрова устойчивост)

DORA е специализиран регламент (Lex Specialis), насочен изключително към финансовия сектор и неговите критични доставчици на ИКТ услуги. Тъй като е регламент, се прилага директно и с приоритет пред NIS 2 за финансовите институции. DORA въвежда значително по-детайлни изисквания относно тестването на устойчивостта.

Ключови прилики: Общата основа за защита

Въпреки различния си фокус двете регулации споделят общи принципи:

• Отговорност на ръководството: Управителните органи вече носят пряка отговорност за одобрението и надзора на рамките за управление на риска.
• Обученията по киберсигурност са задължителни както за служителите, така и за ръководството.
• Управление на риска при трети страни (сигурност на веригата на доставките): И двете регулации изискват строг контрол върху веригата на доставки и доставчиците на ИКТ услуги.
• Докладване на инциденти: Въвеждат се стриктни срокове за уведомяване на националнитете компетентни органи при пробиви в сигурността (с първоначална нотификация в рамките на 24 часа за NIS 2 и незабавно/до часове за критични инциденти под DORA).
• Принцип на пропорционалност: Тежестта на мерките зависи от размера на организацията, нейния оборот и критичността на нейната дейност.

Основни разлики: Хоризонтален срещу вертикален подход

Технологична реализация на съответствието чрез експертизата на Paraflow

Парафлоу предлага интегриран подход за постигане на пълно съответствие с изискванията на Директивата NIS 2, Регламента DORA и Закона за киберсигурност (ЗКС). 

• Първоначална консултация и класификация на организацията.
• Оценка на ИТ инфраструктурата, GAP анализ /проверка на степен на съответствие с нормативните изисквания.
• Изготвяне на стратегия за съответствие и план за отстраняване на несъответствията.
• Технологични решения от водещи производители и разработчици, сред които Cisco, Palo Alto, Cynet, Check Point, Fortinet, Rapid7, Microsoft, Broadcom и др: Next Generation Firewall, Endpoint Protection с EDR, SOC – Security Operation Center (24/7 мониторинг на инциденти), Backup and Recovery solutions (за гарантиране на непрекъсваемост на процесите) и др.
• Стрес тестове и симулации на атаки.
• Специализирани обучения по киберсигурност за персонала и ръководните кадри.
• Пълен набор документация за съответствие, в т. ч. разработване на планове, процедури, инструкции и политики за управление на риска и реакция при инциденти.