Компания ИБИКОН представляет Вам информацию о новых требованиях ЕС (EU), МАКО (IACS), относящихся к информационной безопасности и киберустойчивости судов.
Директива NIS2 (Сетевая и информационная безопасность - Network and Information Security) - это новейшая политика ЕС, направленная на повышение коллективной кибербезопасности государств-членов. Она вступила в силу в январе 2023 года, и ожидается, что все соответствующие организации будут соблюдать новые требования с 17 октября 2024 года:
Директива NIS2 распространяется на:
- компании внутреннего, морского и прибрежного пассажирского и грузового водного транспорта, за исключением отдельных судов, которых они эксплуатируют;
- управляющие органы портов, включая их объекты, и организации, которые управляют работами и оборудованием, находящимся в портах;
- операторов служб движения судов (СДС).
Директива NIS2 включает требования:
- защиты сетевых и информационных систем;
- сообщения о киберинцидентах, первоначальный отчёт нужно подать в течение 24 часов;
- управления киберрисками и их регулирования;
- защиты цепочек поставок.
Директива NIS2 требует от организаций сообщать об инцидентах кибербезопасности компетентному национальному органу. Процесс отчётности включает несколько этапов:
- Первичное уведомление. Его нужно подать в течение 24 часов после инцидента. В отчёте следует указать, вызвал ли инцидент незаконный или вредоносный акт.
- Последующее уведомление. Его нужно отправить в течение 72 часов. В отчёте должна быть оценка инцидента, включая его серьёзность, влияние и индикаторы компрометации.
- Окончательный отчёт. Его подают в течение 1-го месяца после первичного уведомления или первого отчёта. В нём нужно указать подробное описание инцидента, его серьёзность и последствия, тип угрозы или причины, которые, вероятно, привели к инциденту, а также все применённые и текущие меры по смягчению последствий.
Кроме того, по директиве NIS2 организации должны сообщать о любой серьёзной киберугрозе, которая может привести к значимому инциденту. Угроза считается значимой, если она вызывает существенные сбои в работе или финансовые потери для организации или может повлиять на физических или юридических лиц, причинив им значительный материальный или нематериальный ущерб.
В рамках Системы управления безопасности (СУБ) наша компания предлагает Вам:
- оценку киберрисков;
- разработку соответствующих планов и судовых процедур по кибербезопасности (Cyber Security Plan);
- внесение изменений в существующую систему управления (кибер) информационной безопасностью (СУИБ);
- судовые плакаты по кибербезопасности.