Търсене
Close this search box.

На 16 януари 2023 г. влязоха в сила Директивата относно мерките за постигане на високо общо ниво на киберсигурност в целия Съюз („Директивата NIS2“) и Директивата относно устойчивостта на критичните субекти („Директивата CER“). С Директивата NIS2 се отменя действащата Директива NIS и се създава по-обширен и хармонизиран набор от правила за киберсигурност за организациите, които осъществяват дейността си в рамките на Европейския съюз. С Директивата CER се отменя Директивата за европейската критична инфраструктура и се въвеждат нови, по-строги правила за кибернетичната и физическата устойчивост на критичните организации и мрежи.

Основните моменти в  Директивата NIS2

По-широк обхват на приложение

Броят на организациите, които подлежат на задължения съгласно Директивата NIS2, ще нарасне значително в сравнение с първоначалната рамка. Това се дължи до голяма степен на факта, че съгласно първоначалната Директива за NIS държавите членки трябваше да определят организациите, считани за съществени и следователно подлежащи на задълженията по първоначалната Директива за NIS, което вече не е така. Сега в новата Директива NIS2 се определя за кои организации се отнасят задълженията, което се равнява на по-широк обхват от субекти.

Например понятието „организации от съществено значение“ замества „оператори на съществени услуги“; вероятно повечето организации, класифицирани като „оператори на съществени услуги“ съгласно първоначалната Директива NIS, ще бъдат класифицирани като „организации от съществено значение“ съгласно Директивата NIS2. Въпреки това понятието „съществена организация“ е много по-широко и ще обхване и много организации, които досега не са били обект на режима на NIS – например фармацевтични компании и оператори на производство, съхранение и пренос на водород.

Освен това понятието „доставчик на цифрови услуги“, което беше включено в първоначалната директива за NIS, беше премахнато от директивата за NIS2 в полза на понятието „важни субекти“, което вероятно ще включва организациите, считани за „доставчици на цифрови услуги“ съгласно първоначалната директива за NIS, и допълнителни категории. Важните организации ще подлежат на по-строги задължения съгласно Директивата NIS2, отколкото доставчиците на цифрови услуги съгласно първоначалната Директива NIS.

Повече задължения

Съгласно Директивата  NIS2 основните и важните субекти трябва да прилагат технически, оперативни и организационни мерки за управление на рисковете, свързани със сигурността на техните мрежи и информационни системи, и за предотвратяване или свеждане до минимум на въздействието на инцидентите. Тези мерки трябва да обхващат, наред с другото, области като справяне с инциденти, непрекъсваемост на дейността, използване на криптиране и сигурно удостоверяване и обучение.

Докладване на инциденти

Съществените и важните субекти трябва да уведомяват без неоправдано забавяне националните екипи за реагиране при инциденти, свързани с компютърната сигурност (CSIRT), или, когато е приложимо, компетентния орган, за всеки инцидент, който има значително въздействие върху предоставянето на техните услуги. Стъпките за изпълнение на тези задължения включват:

  • „Ранно предупреждение“ в рамките на 24 часа след узнаването на инцидента, в което се посочва дали има съмнение, че инцидентът е причинен от незаконни или злонамерени действия или може да има трансгранично въздействие;
  • Уведомление за инцидент в рамките на 72 часа след узнаване на инцидента, което актуализира горепосочената информация и предоставя първоначална оценка на инцидента, включително по отношение на неговата сериозност и въздействие;
  • При поискване от CSIRT или от компетентния орган – междинен доклад; и
  • окончателен доклад не по-късно от един месец след подаване на уведомлението за инцидента. Окончателният доклад трябва да включва подробно описание на инцидента, включително вероятната причина за инцидента, приложените мерки за смекчаване на последиците и всяко трансгранично въздействие на инцидента.

 

В определени ситуации може да се изисква и уведомяване на получателите на услуги.

Изпълнение

Компетентните органи ще могат да разчитат на солиден набор от правомощия за правоприлагане и разследване, като например възможността да извършват обиски, да извършват одити на сигурността и да изискват данни, информация и документи (наред с други).

Важно е, че държавите членки трябва да предоставят на органите възможността да налагат значителни глоби:

  • За основните субекти – най-малко до 10 милиона евро или 2 % от световния годишен оборот.
  • За важни субекти – най-малко до 7 млн. евро или 1,4 % от световния годишен оборот.

Управителните органи на основните и важните субекти също могат да бъдат подведени под отговорност за неспазване на разпоредбите на Директивата NIS2.

 

Основните моменти от Директивата за CER

Новите правила ще засилят устойчивостта на критичната инфраструктура на редица заплахи, включително природни бедствия, терористични атаки, вътрешни заплахи или саботаж, като всички те, разбира се, могат да имат елемент на киберсигурност или друг свързан с тях елемент. Директивата за CER се прилага за 11 сектора, които се считат за критични: енергетика, транспорт, банково дело, инфраструктури на финансовите пазари, здравеопазване, питейна вода, отпадъчни води, цифрова инфраструктура, публична администрация, космическо пространство и храни.

Държавите членки ще трябва да разполагат с национална стратегия за повишаване на устойчивостта на критичните субекти, да извършват оценка на риска поне веднъж на четири години и да определят критичните субекти, които предоставят основни услуги. Критичните субекти ще трябва да идентифицират съответните рискове, които могат значително да нарушат предоставянето на основни услуги, да предприемат подходящи мерки, за да гарантират своята устойчивост, и да уведомяват компетентните органи за смущаващи инциденти.

Следващи стъпки

За разлика от регламентите на ЕС, директивите на ЕС нямат пряко действие в държавите членки на ЕС, което означава, че държавите членки трябва да транспонират изискванията на двете директиви в националното законодателство, преди те да станат приложими за съответните организации. Държавите членки ще разполагат с време до 17 октомври 2024 г., за да направят това и да публикуват мерките, необходими за постигане на съответствие с двата правни инструмента. Държавите членки ще прилагат тези мерки от 18 октомври 2024 г.

Запознайте се с  Директивата NIS2 и Директивата CER.

Източник: e-security.bg

Подобни публикации

18 септември 2024

D-Link обяви кръпки за множество уязвимости с к...

Тайванският производител на мрежов хардуер D-Link обяви в понеделни...
18 септември 2024

Tenable сподели подробности за метод за атака ч...

Tenable сподели подробности за метод за атака чрез объркване на зав...
18 септември 2024

Element Security излиза на сцената с решение CT...

Израелският стартъп Element Security наскоро излезе от скрит режим ...
18 септември 2024

BlackCloak набира 17 милиона долара за защита н...

Фирмата за киберсигурност и защита на личните данни BlackCloak обяв...
18 септември 2024

Китаец е използвал спиър фишинг, за да получи с...

В понеделник САЩ обявиха обвинения срещу китайски гражданин, за ког...
17 септември 2024

Скорошните уязвимости на WhatsUp Gold са използ...

Две критични уязвимости, поправени наскоро в продукта WhatsUp Gold ...
17 септември 2024

Тактики за скриване под радара на киберпрестъпн...

Киберсигурността е игра на котка и мишка, в която нападатели и защи...
Бъдете социални
Още по темата
15/09/2024

Кражби в режим на киоск

Кампания за зловреден софтуер използва необичайния...
11/09/2024

Препоръки за киберсигурност...

Почти всеки тийнейджър  (около 96%) съобщава,...
11/09/2024

4 съвета за киберсигурност ...

Като се фокусират върху постижими основи...
Последно добавени
18/09/2024

D-Link обяви кръпки за множ...

Тайванският производител на мрежов хардуер D-Link...
18/09/2024

Tenable сподели подробности...

Tenable сподели подробности за метод за...
18/09/2024

Element Security излиза на ...

Израелският стартъп Element Security наскоро излезе...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!