NIS2 в България: Ръководство за директори, управители и администратори

През последните години из България обикалят представители на едни от най-известните телекомуникационни компании с обещания от рода на: „Само ние сме лицензирани за NIS2″, „Трябва ви защитна стена от последно поколение за 15 000 евро“, „Без нас не можете да отговорите на европейските изисквания.“

Тази статия е написана с едната цел — да предостави вярна, техническа и правна информация на всеки директор на училище, управител на фирма или администратор в общинска или държавна институция, така че да може да вземе информирано решение, когато следващия път му бъде предложено „готово решение за NIS2 на цена X на месец.“

Какво е NIS2?

NIS2 (Network and Information Security Directive 2) е Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета, приета на 14 декември 2022 г. Тя замени предишната директива NIS1 — Директива (ЕС) 2016/1148 — и значително разшири обхвата и изискванията за киберсигурност в Европейския съюз.

Директивата не е продукт, не е сертификат, не е абонамент. Тя е правна рамка — набор от изисквания, задължения и отговорности, приложими за организации в определени сектори. Страните членки бяха длъжни да я транспонират в националното си законодателство до 17 октомври 2024 г.

В България NIS2 се транспонира чрез изменение на Закона за мрежова и информационна сигурност (ЗМИС). Компетентни органи по прилагането му са Министерство на електронното управление и ДАНС (за определени сектори).

Основни цели на NIS2:

• Единно, високо ниво на киберсигурност в целия ЕС
• Задължителни мерки за управление на риска
• Задължително докладване на инциденти
• Отговорност на ръководството
• Сигурност на веригата на доставки

За кого е задължителна NIS2?

Тук е ключовият въпрос, на който много „консултанти“ дават умишлено неточен отговор.

NIS2 разделя субектите на две категории:

Съществени субекти (Essential Entities)

Задължени организации в критични сектори:

• Енергетика (електроенергия, газ, нефт)
• Транспорт (авиация, железопътен, воден, автомобилен)
• Банково дело и финансова инфраструктура
• Здравеопазване (болници, лаборатории, производители на медицински изделия)
• Питейна вода и отпадни води
• Цифрова инфраструктура (DNS, TLD регистри, ЦОД, облачни услуги, CDN)
• Публична администрация (централни и регионални органи)
• Космос

Важни субекти (Important Entities)

• Пощенски и куриерски услуги
• Управление на отпадъци
• Производство на химически продукти
• Производство на храни
• Производство на медицински устройства, електроника, машини
• Цифрови доставчици (онлайн пазари, търсачки, социални мрежи)
• Изследователски организации

Прагове за размер

По правило директивата обхваща средни и големи предприятия:

• Средно: ≥ 50 служители или ≥ 10 млн. евро годишен оборот/баланс
• Голямо: ≥ 250 служители или ≥ 50 млн. евро оборот

Важно: малките предприятия (под 50 служители и под 10 млн. евро оборот) по принцип не са обхванати от NIS2, освен ако не са единствени доставчици на критична услуга в дадена държава членка, или изрично не са включени от националния законодател.

Директорът на малко частно училище с 30 служители не е задължен субект по NIS2. Но средно общинско училище, управляващо лични данни на хиляди деца и свързано с национални регистри, много вероятно е.

Трябва ли специален „лицензиран оператор“ за NIS2?

Не. В директивата не съществува понятие „лицензиран оператор за NIS2″. Директивата описва изисквания към самата организация, не изисква тя да ползва конкретен доставчик.

Член 21 от Директива 2022/2555 описва мерките за управление на риска:

„Държавите членки гарантират, че съществените и важните субекти предприемат подходящи и пропорционални технически, операционни и организационни мерки за управление на рисковете за сигурността на мрежовите и информационните системи…“

Думата „пропорционални“ е ключова. Директивата изрично отчита размера на организацията, рисковия профил и наличните ресурси. Не изисква хардуер на стойност 50 000 евро.

Организацията може да избере всеки доставчик, хардуер или решение, стига то да покрива изискванията. Важно е какво правиш, не чие лого е на кутията.

Може ли да се изпълни NIS2 с MikroTik, Ubiquiti и Ubuntu?

Краткият отговор: Да. При правилна конфигурация и поддръжка — напълно.

Нека го разгледаме технически:

Мрежово оборудване — MikroTik и Ubiquiti

MikroTik RouterOS предоставя:

• Stateful firewall с детайлни правила (filter, mangle, NAT)
• VPN: WireGuard, IPsec/IKEv2, L2TP, OpenVPN
• VLAN сегментация на мрежата
• CAPsMAN — централизирано управление на WiFi точки
• Logging към Syslog сървър
• Автоматично блокиране при BruteForce (IP Firewall + scripting)
• BGP/OSPF за по-сложни мрежи

Ubiquiti UniFi предоставя:

• Централизиран контролер (локален или в облак)
• Мрежова сегментация, IoT изолация
• IDS/IPS (Intrusion Detection/Prevention System) — налично в UniFi Dream Machine Pro
• Трафик анализ и логване
• Автоматични актуализации на фърмуера

Сървърна инфраструктура — Ubuntu

Ubuntu Server (LTS) предоставя:

• UFW / nftables — защитна стена
• Fail2Ban — автоматично блокиране при неуспешни опити за достъп
• OpenLDAP / FreeIPA — централизирано управление на потребители
• Samba — контролер на домейн (алтернатива на Active Directory)
• Wazuh / OSSEC — SIEM (Security Information and Event Management)
• OpenVAS / Greenbone — сканиране за уязвимости
• Rsyslog + Graylog/Elasticsearch — централизиран log мениджмънт
• Lynis — одит на сигурността на системата
• Duplicati / Bacula / Amanda — backup решения

Всички горепосочени инструменти са с отворен код и покриват технически изискванията на NIS2 за: управление на достъпа, мониторинг, регистриране на събития, сигурност на мрежата и архивиране.

Въпросът никога не е бил „скъп рутер или евтин рутер“. Въпросът е: конфигуриран ли е правилно, мониториран ли е редовно, актуализиран ли е навреме?

Митът за „великата защитна стена“

Тук е моментът да разясним един технически факт, който много „консултанти“ пропускат да споменат на клиентите си.

HTTPS е криптиран — защитната стена не може да го прочете

Над 98% от бизнес уеб трафика в Интернет е криптиран с TLS/SSL (HTTPS). Това включва:

• Онлайн банкиране
• Държавни портали
• Корпоративни уеб приложения
• Облачни услуги (Microsoft 365, Google Workspace, AWS)
• Социални мрежи
• Новинарски и информационни сайтове

Стандартна защитна стена (firewall) работи на мрежово ниво — вижда IP адреси, портове и протоколи. Тя не може да прочете съдържанието на криптиран HTTPS пакет. Това е точно целта на криптирането.

Технологията SSL/TLS Deep Packet Inspection (DPI) съществува, но:

1. Изисква инсталиране на корпоративен SSL сертификат на всяко клиентско устройство (практически невъзможно за смесена среда с лични телефони, BYOD, IoT)
2. Нарушава поверителността на потребителите и може да е в противоречие с GDPR при определени употреби
3. При TLS 1.3 (стандартът от 2018 г.) DPI е значително по-ограничен

Заключение: Защитната стена е полезна като първа линия на защита за мрежова сегментация, контрол на достъпа и блокиране на известни злонамерени IP адреси. Но тя не е вълшебен щит, четящ съдържанието на криптирания ви трафик.

DoS защитата при клиента е безсилна при мащабни атаки

Нека разгледаме конкретен пример: UDP Flood атака (DDoS)

При такава атака хиляди или милиони заразени устройства по света изпращат UDP пакети към вашия IP адрес. Вашият интернет канал е с капацитет 500 Mbps. Атаката генерира 10 Gbps трафик.

Какво прави клиентската защитна стена? — Нищо. Тя физически е включена след вашия интернет рутер. Каналът е запълнен преди пакетите да достигнат до нея. Мрежовото устройство при вас не може да отблъсне трафик, който физически не е стигнал до него.

Кой може да спре DDoS атака? — Единствено вашият доставчик на интернет (ISP), чрез:

• Blackhole routing (насочване на злонамерения трафик към „черна дупка“)
• Scrubbing центрове (специализирани центрове за почистване на трафика)
• BGP Flowspec — динамично блокиране на атаки на backbone ниво

Именно затова при сериозни DDoS атаки организациите се обаждат на интернет доставчика, а не на фирмата, продала им рутера.

Откъде идва реалната заплаха?

Ако защитните стени не са всесилни и DDoS защитата е работа на ISP-то — откъде идват атаките, парализирали толкова организации?

Отговорът е в данните. ENISA Threat Landscape 2023 (годишният доклад на Агенцията на ЕС за киберсигурност) посочва:

1. Ransomware (криптовируси)

Водеща заплаха за организациите. Атаките, криптирали данните на болници, общини и фирми в България и Европа през последните 5 години, не са дошли през „слаба защитна стена“. Те са влезли чрез:

• Фишинг имейл — служител е отворил прикачен файл или е кликнал на линк
• Компрометирани идентификационни данни — откраднати или познати пароли за VPN, RDP, корпоративна поща
• Уязвимост в необновен софтуер — WordPress плъгин, стара версия на Exchange, необновен Windows

Нито едно от тях не преминава „видимо“ през мрежовата защитна стена. Фишинг имейлът изглежда като обикновен имейл. RDP с компрометирана парола изглежда като легитимен вход.

2. Атаки на вериги на доставки (Supply Chain)

Компрометиран доставчик на софтуер или услуга, използван от организацията. Примерът от 2020 г. — SolarWinds — засегна хиляди организации включително правителствени агенции в САЩ и Европа.

3. Социално инженерство

Манипулация на служители чрез телефон или имейл да предадат достъп или да извършат операция (фалшив директор, фалшива фактура, фалшива техническа поддръжка).

4. Вътрешни заплахи

Служители с прекомерни права, напуснали служители с незатворени акаунти, случайни грешки с чувствителни данни.

Поуката: Защитата се строи отвътре навън, не отвън навътре. Скъпата кутия на входа на мрежата не спира вируса, дошъл по имейла на счетоводителката.

Какво изисква NIS2 на практика?

Член 21 от Директива 2022/2555 изброява задължителните мерки:

а) Политики за сигурност и управление на риска

Писмени документи, описващи как организацията управлява рисковете за информационната сигурност. Не е нужен специален „лицензиран“ консултант — нужен е компетентен специалист, познаващ дейността на организацията.

б) Управление на инциденти

Процедури за засичане, докладване и реагиране при инцидент. NIS2 изисква:

• Ранно предупреждение до компетентния орган в рамките на 24 часа от засичане
• Официален доклад в рамките на 72 часа
• Финален доклад в рамките на 1 месец

в) Непрекъснатост на дейността (Business Continuity)

• Backup — редовно, тествано, съхранявано офлайн или в отделна мрежа
• Disaster Recovery Plan — как организацията се възстановява след инцидент
• Тест на backup плана поне веднъж годишно

г) Сигурност на веригата на доставки

Оценка на сигурността на доставчиците — хостинг, облачни услуги, софтуерни решения.

д) Сигурност при придобиване, разработка и поддръжка на системи

Сигурност при работа с уеб приложения, актуализиране на системи, управление на уязвимости.

е) Политики за криптиране

Използване на криптиране при съхранение и пренос на чувствителни данни.

ж) Сигурност на човешките ресурси

Обучение на персонала, управление на правата за достъп, проверки при назначаване.

з) Многофакторно удостоверяване (MFA)

Задължително за административен достъп до системи, VPN, облачни услуги.

и) Физическа сигурност

Защита на сървърни помещения, контрол на достъпа, видеонаблюдение.

Осемте етапа за изпълнение на NIS2 в организация

Етап 1: Определяне дали организацията попада в обхвата

• Проверка на сектора и размера спрямо Приложения I и II на Директива 2022/2555
• Консултация с правен специалист или директно с компетентния национален орган (Министерство на електронното управление)

Етап 2: GAP анализ — оценка на текущото състояние

Сравнение между текущите мерки за сигурност и изискванията на NIS2. Резултатът е списък с пропуски, наредени по приоритет.

Включва:

• Инвентаризация на всички системи, устройства и данни
• Преглед на текущи политики и процедури (или констатиране на липсата им)
• Идентификация на критични активи и процеси
• Оценка на рисковете

Етап 3: Разработване на политики и процедури

Писмени документи:

• Политика за информационна сигурност
• Процедура за управление на инциденти
• Политика за backup и възстановяване
• Политика за управление на достъпа
• Процедура за работа с лични данни (пресечна точка с GDPR)
• Политика за актуализация на системи

Етап 4: Техническо внедряване

• Мрежова сегментация (VLAN за сървъри, потребители, IoT, гости)
• Внедряване на MFA за всички критични системи
• Централизирано управление на потребителски акаунти
• Внедряване на централизиран logging и мониторинг
• Настройване на автоматизирани backup процедури с тестване
• Hardening на сървъри и мрежови устройства

Етап 5: Обучение на персонала

• Информационна сигурност за всички служители
• Специализирано обучение за IT администратори
• Симулирани фишинг кампании за проверка на готовността
• Процедури за докладване на инциденти

Етап 6: Регистрация при компетентния орган

NIS2 изисква задължените субекти да се регистрират при националния компетентен орган. В България — Министерство на електронното управление (за повечето сектори).

Етап 7: Одит и независима проверка

Независим преглед на внедрените мерки. Може да включва:

• Penetration testing (тест за проникване) от независима фирма
• Вътрешен одит по ISO/IEC 27001 (международен стандарт за информационна сигурност, съвместим с NIS2)
• Преглед от компетентния орган

Етап 8: Непрекъснато подобрение

NIS2 не е проект с начало и край — тя е процес. Изисква периодичен преглед на рисковете, актуализиране на мерките и обучението.

Трябва ли поддръжка след внедряването?

Да. Задължително.

И тук е важна разликата между реална поддръжка и „поддръжка“ като бизнес модел.

Какво е реална поддръжка:

• Мониторинг на сигурността — редовен преглед на логове и алерти, реакция при инциденти
• Управление на актуализациите — редовно обновяване на операционни системи, приложения, фърмуер на устройства
• Управление на уязвимостите — периодично сканиране и отстраняване
• Преглед на backup — тестване дали резервните копия реално работят
• Обучение при промяна на персонала
• Актуализиране на политиките при промяна на закона или заплахите

Какво не е поддръжка:

• Абонамент за устройство, до което никой не влиза с месеци
• Договор, в който „поддръжката“ се изчерпва с телефонна линия
• Скъп лиценз за платформа, която никой в организацията не разбира и не ползва

NIS2 изрично изисква ангажимент на ръководството — членовете на управителния орган трябва да одобряват мерките за сигурност и носят лична отговорност при неизпълнение. Санкциите за съществени субекти могат да достигнат до 10 млн. евро или 2% от глобалния оборот (чл. 34 от Директивата).

Практически пример: Средно училище

Да разгледаме конкретен сценарий: училище с 300 ученика, 30 служители, администрираща лични данни, свързана с МОН и общинската мрежа.

Реалистично техническо решение с достъпен хардуер и отворен софтуер:

Към това се добавя внедряване и конфигурация от компетентна фирма (40–80 часа работа) и абонамент за реална поддръжка — не фиктивна.

За сравнение: готови „NIS2 пакети“ на големи оператори стартират от 500 до 2000 евро на месец, при договор от 3 години.

Заключение

NIS2 е сериозна регулаторна рамка с реална цел — повишаване на киберустойчивостта на организациите в ЕС. Тя не е маркетингов инструмент, не е лиценз, не е патент на конкретен доставчик.

Всяка компетентна технологична фирма с реален опит в мрежова администрация и системна сигурност може да внедри изискванията на NIS2 — с правилния хардуер, конфигуриран правилно, мониториран редовно и поддържан актуален.

Реалната защита не е в цената на кутията на входа на мрежата. Тя е в:

• Обучен персонал, разпознаващ фишинг
• Сегментирана мрежа, ограничаваща разпространението на зловреден код
• Редовни backup копия, съхранявани офлайн
• MFA на всички критични системи
• Бърза реакция при инцидент

Именно тези мерки биха спрели или ограничили огромната част от ransomware атаките на последните години — не скъп рутер с лого от последно поколение, стоящ непокътнат в сървърното помещение.

Източници:

• Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета
• ENISA Threat Landscape 2023 — enisa.europa.eu
• Закон за мрежова и информационна сигурност (ЗМИС) — lex.bg