Промените в Закона за киберсигурност, свързани с NIS 2, поставят конкретни изисквания към организациите, които попадат в обхвата на закона. За тези фирми темата вече не е въпрос на бъдеща подготовка, а на навременна оценка: дали са засегнати, какви задължения имат и доколко текущите им мерки са достатъчни.Един от най-сериозните елементи в режима са санкциите. За съществените субекти законът предвижда имуществена санкция до 10 000 000 евро или до 2% от общия световен годишен оборот за предходната финансова година, като се прилага по-високата стойност. За важните субекти санкцията е до 7 000 000 евро или до 1,4% от оборота, отново според по-високата стойност.Освен имуществените санкции за организациите, законът предвижда и лична отговорност при нарушения на разпоредбите, свързани с управлението. Ръководители на административни органи, управители или членове на управителни органи на съществени и важни субекти могат да бъдат глобени от 500 до 5000 евро.Законът въвежда и ясни срокове при значителен инцидент. До 24 часа се подава ранно предупреждение, до 72 часа — уведомление за инцидент, а окончателен доклад се подава не по-късно от един месец след уведомлението. Това означава, че при реална ситуация организацията трябва да има предварително изграден процес — кой оценява инцидента, кой събира информацията, кой подава уведомленията и как се документират действията.Рискът за фирмите не е само в размера на санкциите. По-големият практически проблем е неподготвеността. Ако една организация не знае дали попада в обхвата, няма яснота за задълженията си или не е проверила мерките си, тя може да реагира твърде късно — при инцидент, проверка или необходимост да докаже предприети действия.Затова първата разумна стъпка е оценка на готовността. Тя дава отговор на най-важните въпроси: попада ли фирмата в обхвата на закона, какъв е нейният статут, кои изисквания са приложими, какви мерки вече са налични и къде има пропуски.NIS 2 не е тема за отлагане, защото сроковете при инцидент са кратки, санкциите са значими, а изискванията предполагат предварителна организация. Колкото по-рано една фирма направи своята оценка, толкова по-ясно и контролирано може да планира следващите си действия.
Глоби, срокове и реален риск: защо NIS 2 не е тема за „по-нататък“
"Prevention is cheaper than a breach"
Popular Posts
