В четвъртък Европейската комисия прие първоначалните правила за прилагане на киберсигурността на критичните обекти и мрежи съгласно Директивата относно мерките за високо общо ниво на киберсигурност в Съюза. Директивата NIS2 разглежда мерките за управление на риска в областта на киберсигурността и случаите, в които даден инцидент следва да се счита за значителен и дружествата, предоставящи цифрови инфраструктури и услуги, следва да го докладват на националните органи. Този ход се разглежда като още една важна стъпка за повишаване на киберустойчивостта на критичната цифрова инфраструктура на Европа.
Регламентът за изпълнение ще се прилага за конкретни категории дружества, предоставящи цифрови услуги, като например доставчици на услуги за изчисления в облак, доставчици на услуги за центрове за данни, онлайн пазари, онлайн търсачки и платформи за социални мрежи и др. За всяка категория доставчици на услуги в акта за изпълнение се посочва също така кога даден инцидент се счита за значителен.
Приемането на акта за изпълнение съвпада с крайния срок, в който държавите членки трябваше да транспонират Директивата NIS2 в националното си законодателство. От 18 октомври 2024 г. всички държави членки трябва да прилагат мерките, необходими за спазване на правилата за киберсигурност на NIS2, включително мерките за надзор и правоприлагане. Регламентът за изпълнение ще бъде публикуван в Официален вестник своевременно и ще влезе в сила 20 дни след това.
В регламента се определят техническите и методологическите изисквания за мерките, посочени в NIS2, относно доставчиците на DNS услуги, регистрите на имена на ДПН, доставчиците на услуги за изчисления в облак, доставчиците на услуги за центрове за данни, доставчиците на мрежи за доставка на съдържание, доставчиците на управлявани услуги, доставчиците на управлявани услуги за сигурност, доставчиците на онлайн пазари, на онлайн търсачки и на платформи за услуги в социалните мрежи, както и доставчиците на услуги за доверие.
Директивата за NIS2 има за цел да отстрани недостатъците на предишните правила, да се адаптира към настоящите нужди и да я направи устойчива на бъдещето. За тази цел директивата разширява обхвата на предишните правила, като добавя нови сектори въз основа на степента им на цифровизация и взаимосвързаност и на това колко важни са те за икономиката и обществото, като въвежда ясно правило за праг на размера – което означава, че всички средни и големи дружества в избрани сектори ще бъдат включени в обхвата. В същото време тя оставя известна свобода на преценка на държавите членки да определят по-малките субекти с профил на висок риск за сигурността, които също следва да бъдат обхванати от задълженията по новата директива.
С новата директива също така се премахва разграничението между операторите на основни услуги и доставчиците на цифрови услуги. Субектите ще бъдат класифицирани въз основа на тяхната значимост и разделени на две категории: съществени и важни субекти, които ще бъдат обект на различни надзорни режими. С нея се засилват и рационализират изискванията за сигурност и докладване за дружествата, като се налага подход за управление на риска, който предвижда минимален списък от основни елементи на сигурността, които трябва да се прилагат. С новата директива се въвеждат по-точни разпоредби относно процеса на докладване на инциденти, съдържанието на докладите и сроковете.
Освен това в NIS2 се разглежда сигурността на веригите за доставки и взаимоотношенията с доставчиците, като се изисква отделните дружества да се справят с рисковете за киберсигурността във веригите за доставки и взаимоотношенията с доставчиците.
На европейско равнище Директивата NIS2 укрепва киберсигурността на веригите за доставки за ключови информационни и комуникационни технологии. Държавите членки, в сътрудничество с Комисията и ENISA (Европейската агенция за мрежова и информационна сигурност), могат да извършват координирани оценки на риска за сигурността на критичните вериги на доставки на равнището на Съюза, като се основават на успешния подход, възприет в контекста на Препоръката на Комисията относно киберсигурността на 5G мрежите.
С директивата се въвеждат по-строги надзорни мерки за националните органи и по-строги изисквания за правоприлагане, като целта е да се хармонизират режимите на санкции в държавите членки. Тя също така засилва ролята на Групата за сътрудничество при вземането на стратегически политически решения и увеличава обмена на информация и сътрудничеството между органите на държавите членки. Той също така засилва оперативното сътрудничество в рамките на мрежата на CSIRT и създава Европейската мрежа за връзка при киберкризи (EU-CyCLONe) в подкрепа на координираното управление на широкомащабни инциденти и кризи в областта на киберсигурността.
NIS2 също така установява основна рамка с отговорни ключови участници за координирано разкриване на уязвимости за новооткрити уязвимости в целия ЕС и създава база данни на ЕС за уязвимости за публично известни уязвимости в ИКТ продукти и ИКТ услуги, която ще се управлява и поддържа от ENISA.
Оценката на действащите правила относно изискванията за сигурност и докладване на инциденти показа, че в някои случаи държавите членки са приложили тези изисквания по значително различни начини. Това е създало допълнителна тежест за дружествата, които извършват дейност в повече от една държава членка. Освен това, когато става въпрос за изисквания за киберсигурност, искаме да сме сигурни, че всички дружества разглеждат необходимия основен набор от елементи в своите политики за управление на риска в областта на киберсигурността.
Поради тази причина Директивата включва списък с 10 ключови елемента, които дружествата трябва да адресират или да прилагат като част от мерките, които предприемат, включително обработка на инциденти, сигурност на веригата за доставки, обработка и разкриване на уязвимости, използване на криптография и, когато е уместно, криптиране.
Що се отнася до докладването на инциденти, Европейската комисия изтъква, че „трябва да намерим правилния баланс между необходимостта от бързо докладване, за да се избегне потенциалното разпространение на инцидентите, и необходимостта от задълбочено докладване, за да се извлекат ценни поуки от отделните инциденти“.
В новата директива се предвижда многоетапен подход към докладването на инциденти. Засегнатите дружества разполагат с 24 часа, считано от момента, в който за първи път са узнали за инцидента, за да подадат ранно предупреждение до CSIRT или до компетентния национален орган, което ще им позволи също така да потърсят помощ (насоки или оперативни съвети за прилагане на възможни мерки за смекчаване на последиците), ако поискат такава. Ранното предупреждение следва да бъде последвано от уведомление за инцидент в рамките на 72 часа от узнаването на инцидента и окончателен доклад не по-късно от един месец.
Директивата поставя надзора и правоприлагането в центъра на задачите на компетентните органи и установява съгласувана рамка за всички надзорни и правоприлагащи дейности в държавите членки. С цел да се засили надзорът, който спомага за осигуряване на ефективно спазване на изискванията, NIS2 предвижда минимален списък от надзорни средства, чрез които компетентните органи могат да упражняват надзор над съществени и важни субекти. Те включват редовни и целенасочени одити, проверки на място и извън него, искания за информация и достъп до документи или доказателства.
Освен това Директивата за NIS2 установява диференциация на надзорните режими между съществените и важните субекти с оглед осигуряване на справедлив баланс на задълженията както за субектите, така и за компетентните органи.
Що се отнася до правоприлагането, досега държавите членки като цяло не са склонни да налагат санкции на субекти, които не са въвели мерки за сигурност или не са докладвали за инциденти. Това може да има отрицателни последици за киберустойчивостта на субектите. За да бъде ефективното правоприлагане, с новата директива се установява последователна рамка за санкциите в целия Съюз. Поради това с нея се установява минимален списък с административни санкции за нарушаване на задълженията за управление на риска за киберсигурността и докладване, установени в NIS2.
Тези санкции включват задължителни указания, разпореждане за изпълнение на препоръките от одит на сигурността, разпореждане за привеждане на мерките за сигурност в съответствие с изискванията на NIS и административни глоби. Във връзка с административните глоби новата Директива прави разграничение между съществени и важни субекти. По отношение на съществените субекти тя изисква от държавите членки да предвидят определен размер на административните глоби, а именно максимален размер от най-малко 10 000 000 EUR или 2 % от общия световен годишен оборот за предходната финансова година, в зависимост от това коя от двете стойности е по-висока. По отношение на важните субекти NIS2 изисква от държавите членки да предвидят максимален размер на глобата от най-малко 7 000 000 EUR или най-малко 1,4 % от общия световен годишен оборот за предходната финансова година, в зависимост от това коя от двете стойности е по-висока.
Когато упражняват правомощията си за правоприлагане, компетентните органи следва надлежно да отчитат конкретните обстоятелства във всеки отделен случай, като например естеството, тежестта и продължителността на нарушението, причинените вреди или понесените загуби, както и умишления или небрежен характер на нарушението. За да се гарантира реална отговорност за мерките за киберсигурност на организационно равнище, с NIS2 се въвеждат разпоредби относно отговорността на физическите лица, заемащи висши ръководни длъжности в субектите, попадащи в обхвата на новата директива NIS2.
Директивата NIS2 е свързана с две други инициативи – Директивата за устойчивостта на критичните субекти (CER) и Регламента за цифровата оперативна устойчивост за финансовия сектор (Закон за цифровата оперативна устойчивост, DORA).
NIS2 и CER са съгласувани така, че да обхващат както физическата, така и кибернетичната устойчивост на критичните субекти. Субектите, идентифицирани в рамките на CER, ще следват и задълженията за киберсигурност на NIS2. Националните органи от двете директиви трябва да си сътрудничат, като редовно обменят информация за рисковете и заплахите.
Групата за сътрудничество в рамките на NIS2 и Групата за устойчивост в рамките на CER ще заседават поне веднъж годишно. Във финансовия сектор NIS2 включва кредитни институции и търговски оператори, но DORA ще се занимава с управлението на риска за киберсигурността на тези субекти. DORA позволява на финансовите органи да се присъединяват към дискусиите в Групата за сътрудничество в рамките на NIS2 и да обменят информация с лицата за контакт в NIS2 и CSIRT. Финансовите сектори следва да останат част от националните стратегии за киберсигурност.
Държавите членки трябваше да транспонират директивата до 17 октомври 2024 г. (21 месеца след влизането в сила на NIS2). След това Комисията ще трябва периодично да прави преглед на функционирането на директивата и да докладва за първи път до 17 октомври 2027 г. на Парламента и на Съвета.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
