NIS2 и AI трансформацията на производствения сектор: как OpenKBS осигурява съответствие с Директива (ЕС) 2022/2555

Директива (ЕС) 2022/2555 (NIS2) разширява обхвата на регулация на киберсигурността в Европейския съюз до 18 сектора, включително производството. В България директивата е транспонирана чрез изменение на Закона за киберсигурност (ЗКС), обнародвано в ДВ, бр. 17 от 13 февруари 2026 г. Средните и големите производствени предприятия попадат в обхвата на закона като „важни субекти" съгласно чл. 4а от ЗКС (за средни предприятия с 50 и повече служители и годишен оборот от 10 млн. евро, както и за големи предприятия от секторите по Приложение II).

За тези организации NIS2 поставя конкретно предизвикателство: как да внедрят AI решения в производствените си процеси, без това да увеличи регулаторния и киберсигурностния им риск. Настоящата публикация описва как платформата OpenKBS адресира изискванията на директивата за своите enterprise клиенти.

Инфраструктурна сигурност чрез AWS

OpenKBS изгражда инфраструктурата на своите клиенти изцяло върху Amazon Web Services (AWS). Това не е просто избор на хостинг доставчик — с него се наследява цял набор от независимо одитирани сертификации и атестации, сред които:

  • ISO/IEC 27001 — система за управление на сигурността на информацията;
  • ISO/IEC 22301 — управление на непрекъснатостта на бизнес операциите;
  • ISO/IEC 27017 — контроли за сигурност на облачните услуги;
  • SOC 2 Type II — контроли за сигурност, наличност, цялост на обработката, поверителност и защита на личните данни;
  • C5 — каталог за облачна сигурност, разработен от Германската федерална служба за информационна сигурност (BSI).

AWS предоставя над 150 независимо одитирани сертификации за сигурност в световен мащаб. В контекста на NIS2 това е съществено, защото чл. 21, ал. 1 от Директива (ЕС) 2022/2555 изисква мерките за управление на риска да отразяват „актуалното състояние на технологиите" (state of the art). Използването на сертифицирана инфраструктура демонстрира спазването на този принцип.

В Германия AWS вече е част от националната критична инфраструктура (KRITIS). Amazon EC2 и Amazon CloudFront попадат в обхвата на KRITIS регулацията, а AWS е член на инициативата UP KRITIS — съвместно усилие между индустрията и германското правителство за установяване на индустриални стандарти за киберсигурност.

Модел на споделена отговорност

AWS прилага модел на споделена отговорност (Shared Responsibility Model), при който:

  • AWS отговаря за сигурността на облачната инфраструктура — физически центрове за данни, мрежа, хипервайзор, управлявани услуги;
  • Клиентът отговаря за сигурността на това, което изгражда в облака — код на приложението, конфигурации, достъп.

За enterprise клиентите, всяко решение преминава през структуриран процес на одит и преглед на сигурността преди въвеждане в експлоатация.

Обособен AWS акаунт за всеки enterprise клиент

Едно от ключовите изисквания на NIS2 е осигуряването на непрекъснатост на бизнес операциите и управление при кризи (чл. 21, ал. 2, б. „в" от Директива (ЕС) 2022/2555). Директивата поставя акцент и върху сигурността на веригата за доставки (чл. 21, ал. 2, б. „г"), включително управление на рисковете, произтичащи от зависимости към технологични доставчици.

OpenKBS адресира тези изисквания чрез модел на обособени AWS акаунти.

Как работи

Всеки enterprise клиент получава собствен AWS акаунт, в който се разполагат всички негови ресурси:

РесурсОписание
Lambda функцииServerless изчисления за бизнес логика (до 20 на проект)
S3 хранилищеОбектно хранилище за файлове и данни
Aurora PostgreSQLУправлявана релационна база данни с автоматични резервни копия и point-in-time възстановяване
CloudFront CDNРазпределение на съдържание с TLS криптиране
EventBridgeПланирани задачи и автоматизации

Ресурсите на един клиент са физически изолирани от ресурсите на всеки друг клиент на ниво AWS акаунт. Това не е логическо разделяне (namespace, таг или виртуална мрежа), а твърда граница на ниво акаунт, прилагана от AWS Identity and Access Management (IAM).

Прехвърляне на инфраструктурата при прекратяване на договора

При прекратяване на договора или при друга необходимост, обособеният AWS акаунт може да бъде прехвърлен изцяло на клиента. Процесът включва:

  1. Промяна на root потребителя на акаунта към клиентски имейл;
  2. Потвърждение от страна на клиента и задаване на нова парола;
  3. Отстраняване на акаунта от AWS Organization на OpenKBS;
  4. Клиентът добавя платежен метод и поема пълен контрол;
  5. Клиентът премахва достъпа на OpenKBS чрез изтриване на cross-account IAM ролята.

Нищо не се мигрира. Lambda функциите продължават да работят, данните в S3 и Aurora остават на място, CloudFront разпределенията обслужват трафик без прекъсване. Клиентът получава пълен контрол върху инфраструктурата си без загуба на данни и без престой.

Всички ресурси са стандартни AWS примитиви — няма проприетарни формати, няма vendor lock-in. Клиентът може да продължи да управлява инфраструктурата си самостоятелно или с друг доставчик.

AWS Organizations позволява създаването на до 50 000 акаунта в рамките на една организация, без допълнителна такса за самия акаунт. Таксува се единствено потреблението на ресурсите вътре в акаунта.

Какво означава това за NIS2 съответствието

  • Чл. 21, ал. 2, б. „в" (непрекъснатост на бизнес операциите): Инфраструктурата не зависи от оперативния статус на OpenKBS. При прекратяване на дейността на доставчика, клиентът продължава да оперира.
  • Чл. 21, ал. 2, б. „г" (сигурност на веригата за доставки): Рискът от зависимост към един доставчик е сведен до минимум чрез гарантирана възможност за пълно прехвърляне.
  • Клауза 5 от договорните изисквания по NIS2 (съдействие при прекратяване и сигурност на данните): Покрита по дизайн — данните вече се намират в акаунт, който клиентът може да поеме изцяло.

Местоположение на данните и serverless архитектура

Хостинг в Европейския съюз

Всички ресурси на enterprise клиентите се разполагат в AWS регион eu-central-1 (Франкфурт, Германия) по подразбиране. Централната база данни на платформата (AWS Aurora DSQL) работи единствено в eu-central-1.

Данните не напускат територията на ЕС. Всеки клиентски проект получава:

  • S3 хранилище в eu-central-1;
  • Aurora PostgreSQL инстанция в eu-central-1;
  • Lambda функции, изпълнявани в eu-central-1;
  • CloudFront разпределение с edge локации в ЕС.

Местоположението на данните е ключов фактор при оценката на риска по NIS2. Разполагането на инфраструктурата в ЕС опростява спазването на изискванията за защита на данните и улеснява взаимодействието с националните регулаторни органи.

Serverless архитектура и намалена атакуема повърхност

OpenKBS използва изцяло serverless архитектура за клиентските ресурси. Това означава:

  • Няма сървъри за поддръжка — няма операционна система, която да се обновява, няма SSH достъп, няма отворени портове;
  • AWS управлява runtime средата — Node.js 24.x на Lambda, с автоматични обновления на сигурността;
  • Изолация на ниво изпълнение — всяка Lambda функция се изпълнява в отделна microVM среда;
  • TLS 1.2+ за всички комуникации — чрез CloudFront, без изключения.

От гледна точка на чл. 21, ал. 2, б. „д" от Директива (ЕС) 2022/2555 (сигурност при придобиване, разработване и поддръжка на мрежови и информационни системи), serverless архитектурата елиминира цял клас уязвимости — некоригирани операционни системи, неправилно конфигурирани сървъри, неоторизиран мрежов достъп.

Сигурност на AI-генериран код

Реалността на съвременната разработка

Значителна и нарастваща част от програмния код в индустрията се генерира с помощта на AI модели. Тази тенденция е необратима. Въпросът не е дали AI ще генерира кода, а какви процеси гарантират качеството и сигурността на този код.

AI-генерираният код не е по дефиниция несигурен. Съвременните езикови модели (като Claude на Anthropic) откриват уязвимости в кода по-ефективно от повечето ръчни прегледи — включително SQL инжекции, XSS атаки, неоторизиран достъп, неправилно управление на сесии и десетки други категории от OWASP Top 10 и CWE класификациите.

Рисковете от AI-генериран код не произтичат от самия модел, а от липсата на процеси за одит и валидация. Система, при която генерираният код се внедрява директно без преглед, е рискова — независимо дали кодът е написан от човек или от AI.

Процесът на OpenKBS за enterprise клиенти

OpenKBS прилага структуриран процес за преглед на сигурността при всяка нова версия на клиентското решение:

Автоматизиран одит на сигурността при всяка версия:

  • Статичен анализ на кода за уязвимости от OWASP Top 10;
  • Проверка за SQL инжекции, XSS, CSRF, SSRF, command injection;
  • Анализ на зависимостите (dependency audit) за известни уязвимости (CVE);
  • Проверка за изтичане на чувствителни данни (hardcoded credentials, API ключове, connection strings);
  • Валидация на входните данни и контрол на достъпа;
  • Проверка за неоторизирано разкриване на информация в HTTP отговори и error handling.

Инфраструктурен преглед:

  • Преглед на IAM политики и най-малки привилегии (least privilege);
  • Валидация на криптиране при пренос (TLS) и в покой (AES-256);
  • Проверка за публично достъпни ресурси (S3 buckets, Lambda endpoints);
  • Одит на мрежовата конфигурация и firewall правила.

Документиран доклад:

  • Всеки одит генерира документиран доклад с констатации и препоръки;
  • Критичните уязвимости се адресират преди внедряване в продуктивна среда;
  • Докладите са достъпни за клиента и могат да бъдат предоставени на регулаторните органи при одит.

Този процес адресира изискванията на чл. 21, ал. 2, б. „д" (сигурност при разработване и поддръжка) и чл. 21, ал. 2, б. „е" (политики и процедури за оценяване на ефективността на мерките за управление на риска).

Консолидация на AI веригата за доставки

Организация, която иска да използва AI модели от няколко доставчика (OpenAI, Anthropic, Google), трябва да сключи отделни договори, да извърши отделни оценки на риска и да осигури съответствие с NIS2 за всеки от тях.

OpenKBS консолидира достъпа до множество AI модели чрез единен прокси, разположен в EU инфраструктурата на платформата. Клиентът взаимодейства с един доставчик (OpenKBS), който управлява интеграцията с AI вендорите.

Това намалява:

  • броя на доставчиците, подлежащи на оценка по чл. 21, ал. 2, б. „г" от NIS2;
  • броя на договорите, които трябва да съдържат задължителните пет клаузи за сигурност на веригата за доставки;
  • административната тежест при периодичния преглед на доставчиците.

Допълнителни мерки за съответствие

Криптиране

В съответствие с чл. 21, ал. 2, б. „з" от Директива (ЕС) 2022/2555 (политики за използване на криптография):

  • При пренос: TLS 1.2+ за всички комуникации, без изключения;
  • В покой: AES-256 за чувствителни данни (connection strings, API ключове), AWS-managed encryption за S3 и Aurora;
  • Токени за достъп: Съхраняват се като SHA-256 хеш, оригиналният текст не се записва;
  • MQTT комуникации: SigV4-подписани WebSocket връзки с временни STS сесийни токени (15 минути валидност).

Контрол на достъпа

В съответствие с чл. 21, ал. 2, б. „и" (сигурност на човешките ресурси, контрол на достъпа):

  • JWT базирана автентикация (RS256) с ограничен срок на валидност;
  • Per-project API ключове с изрично дефинирани разрешения;
  • Автоматична ротация на ключовете при всяко внедряване;
  • STS session credentials с 15-минутна валидност за cross-account достъп.

Одитен журнал

В съответствие с чл. 21, ал. 2, б. „е" (оценяване на ефективността на мерките):

  • Административен одитен журнал: тип на действието, засегнат ресурс, детайли, IP адрес;
  • Проследяване на потреблението на ресурси по проект и период;
  • CloudWatch метрики за всяка функция (извиквания, продължителност, грешки).

Резервни копия, възстановяване и план при бедствие

В съответствие с чл. 21, ал. 2, б. „в" (непрекъснатост на бизнес операциите, управление на резервни копия, възстановяване след бедствие и управление на кризи):

База данни (Aurora PostgreSQL Serverless v2):

  • Автоматични непрекъснати резервни копия, управлявани от AWS;
  • Възстановяване до конкретен момент във времето (point-in-time restore) с точност до секунда, за конфигурируем период до 35 дни;
  • Данните се съхраняват в шест копия, разпределени в три зони за наличност (Availability Zones) в рамките на региона eu-central-1;
  • При отказ на основната инстанция, Aurora автоматично превключва към резервна реплика.

Обектно хранилище (S3):

  • Версиониране на обекти — всяка промяна или изтриване запазва предишната версия;
  • AWS S3 осигурява 99.999999999% (11 деветки) издръжливост на данните;
  • Данните се съхраняват в множество зони за наличност в рамките на региона.

Общи принципи:

  • Меко изтриване (soft delete) на всички ресурси — без необратимо заличаване;
  • Serverless архитектурата елиминира необходимостта от възстановяване на сървъри — при повреда на Lambda инстанция AWS автоматично стартира нова;
  • CloudFront CDN осигурява обслужване на трафика и при частична недостъпност на origin сървъра.

Обобщение: покритие на минималните мерки по чл. 21 от NIS2

Мярка по чл. 21, ал. 2Как OpenKBS я адресира
а) Анализ на риска и политики за сигурностСтруктуриран процес за одит на всяка версия; документирани доклади
б) Действия при инцидентПроцедура за реагиране; 24-часово ранно предупреждение към клиента
в) Непрекъснатост на операциитеОбособен AWS акаунт; Aurora PITR до 35 дни; S3 версиониране; 6 копия в 3 AZ
г) Сигурност на веригата за доставкиКонсолидиран AI прокси; единен договор; прехвърлим акаунт
д) Сигурност при разработване и поддръжкаSecurity audit на всяка версия; serverless архитектура
е) Оценка на ефективността на меркитеОдитен журнал; мониторинг на ресурсите; CloudWatch метрики
ж) Обучение по киберсигурностКонсултации и документация за клиентските екипи
з) Криптография и криптиранеTLS 1.2+; AES-256; SHA-256 за токени; SigV4 за MQTT
и) Контрол на достъпаJWT автентикация; per-project ключове; автоматична ротация
й) MFA и криптирана комуникацияКриптирани WebSocket връзки; STS session credentials

Следваща стъпка

OpenKBS работи с производствени предприятия в България и Европа, които внедряват AI решения при спазване на изискванията на NIS2.

Ако вашата организация попада в обхвата на Закона за киберсигурност и обмисля AI трансформация, свържете се с нас за консултация относно:

  • оценка на текущата ви инфраструктура спрямо изискванията на NIS2;
  • проектиране на AI решение в обособен AWS акаунт с EU Data Residency;
  • процеси за одит на сигурността при AI-генериран код;
  • план за непрекъснатост на бизнес операциите и управление при кризи.

Описаните услуги по одит на сигурността, обособен AWS акаунт и преглед на AI-генериран код са част от Enterprise плана на OpenKBS.

Настоящата публикация има информативен характер и не представлява правна консултация. За конкретни въпроси относно прилагането на Закона за киберсигурност се обърнете към квалифициран юридически консултант.

Book a Strategy Call
NIS2Директива (ЕС) 2022/2555Закон за киберсигурностAWSAIкиберсигурностпроизводствоsupply chainenterprise